Microsoft v rámci novembrového Patch Tuesday opravil 4 kritické zraniteľnosti
Spoločnosť Microsoft vydala v novembri 2024 balík opráv pre portfólio svojich produktov opravujúci 89 zraniteľností, z ktorých 52 umožňuje vzdialené vykonávanie kódu. Kritické zraniteľnosti sa nachádzajú vo frameworku .NET, produkte Visual Studio, komponentoch Windows VMSwitch a Window Kerberos a online platforme airlift.microsoft.com a možno ich zneužiť na eskaláciu privilégií a vzdialené vykonanie škodlivého kódu. Zraniteľnosti v komponentoch Windows NT LAN Manager (CVE-2024-43451) a Windows Task Scheduler (CVE-2024-49039) sú aktívne zneužívané útočníkmi.
Zraniteľné systémy:
- .NET 9.0 inštalované na Linux
- Azure CycleCloud 8.0.0 – 8.0.2
- Azure CycleCloud 8.1.0 – 8.1.1
- Azure CycleCloud 8.2.0 – 8.2.2
- Azure CycleCloud 8.3.0
- Azure CycleCloud 8.4.0 – 8.4.2
- Azure CycleCloud 8.5.0
- Azure CycleCloud 8.6.0 – 8.6.4
- Azure Database for PostgreSQL Flexible Server 12
- Azure Database for PostgreSQL Flexible Server 13
- Azure Database for PostgreSQL Flexible Server 14
- Azure Database for PostgreSQL Flexible Server 15
- Azure Database for PostgreSQL Flexible Server 16
- Azure Linux 3.0 ARM
- Azure Linux 3.0 x64
- CBL Mariner 2.0 ARM
- CBL Mariner 2.0 x64
- LightGBM
- Microsoft 365 Apps for Enterprise for 32-bit Systems
- Microsoft 365 Apps for Enterprise for 64-bit Systems
- Microsoft Defender for Endpoint for Android
- Microsoft Defender for Endpoint for iOS
- Microsoft Excel 2016 (32-bit edition)
- Microsoft Excel 2016 (64-bit edition)
- Microsoft Excel 2016 Click-to-Run (C2R) for 32-bit editions
- Microsoft Excel 2016 Click-to-Run (C2R) for 64-bit editions
- Microsoft Exchange Server 2016 Cumulative Update 23
- Microsoft Exchange Server 2019 Cumulative Update 13
- Microsoft Exchange Server 2019 Cumulative Update 14
- Microsoft Office 2016 (32-bit edition)
- Microsoft Office 2016 (64-bit edition)
- Microsoft Office 2019 for 32-bit editions
- Microsoft Office 2019 for 64-bit editions
- Microsoft Office LTSC 2021 for 32-bit editions
- Microsoft Office LTSC 2021 for 64-bit editions
- Microsoft Office LTSC 2024 for 32-bit editions
- Microsoft Office LTSC 2024 for 64-bit editions
- Microsoft Office LTSC for Mac 2021
- Microsoft Office LTSC for Mac 2024
- Microsoft Office Online Server
- Microsoft PC Manager
- Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 (GDR)
- Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 Azure Connect Feature Pack
- Microsoft SQL Server 2017 for x64-based Systems (CU 31)
- Microsoft SQL Server 2017 for x64-based Systems (GDR)
- Microsoft SQL Server 2019 for x64-based Systems (CU 29)
- Microsoft SQL Server 2019 for x64-based Systems (GDR)
- Microsoft SQL Server 2022 for x64-based Systems (CU 15)
- Microsoft SQL Server 2022 for x64-based Systems (GDR)
- Microsoft SharePoint Enterprise Server 2016
- Microsoft SharePoint Server 2019
- Microsoft SharePoint Server Subscription Edition
- Microsoft TorchGeo
- Microsoft Visual Studio 2022 version 17.10
- Microsoft Visual Studio 2022 version 17.11
- Microsoft Visual Studio 2022 version 17.6
- Microsoft Visual Studio 2022 version 17.8
- Microsoft Word 2016 (32-bit edition)
- Microsoft Word 2016 (64-bit edition)
- Python extension for Visual Studio Code
- Visual Studio Code Remote – SSH Extension
- Windows 10 Version 1607 for 32-bit Systems
- Windows 10 Version 1607 for x64-based Systems
- Windows 10 Version 1809 for 32-bit Systems
- Windows 10 Version 1809 for x64-based Systems
- Windows 10 Version 21H2 for 32-bit Systems
- Windows 10 Version 21H2 for ARM64-based Systems
- Windows 10 Version 21H2 for x64-based Systems
- Windows 10 Version 22H2 for 32-bit Systems
- Windows 10 Version 22H2 for ARM64-based Systems
- Windows 10 Version 22H2 for x64-based Systems
- Windows 10 for 32-bit Systems
- Windows 10 for x64-based Systems
- Windows 11 Version 22H2 for ARM64-based Systems
- Windows 11 Version 22H2 for x64-based Systems
- Windows 11 Version 23H2 for ARM64-based Systems
- Windows 11 Version 23H2 for x64-based Systems
- Windows 11 Version 24H2 for ARM64-based Systems
- Windows 11 Version 24H2 for x64-based Systems
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
- Windows Server 2012
- Windows Server 2012 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2016
- Windows Server 2016 (Server Core installation)
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
- Windows Server 2022
- Windows Server 2022 (Server Core installation)
- Windows Server 2022, 23H2 Edition (Server Core installation)
- Windows Server 2025
- Windows Server 2025 (Server Core installation)
- airlift.microsoft.com
Opis činnosti:
I. Kritické zraniteľnosti:
CVE-2024-43498 (CVSS skóre 9,8)
Kritická zraniteľnosť v frameworku .NET a produkte Visual Studio spočíva v nesprávnom vyhodnocovaní dátových typov a vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie kódu. Zraniteľnosť možno zneužiť zaslaním špeciálne vytvorenej požiadavky na zraniteľnú webovú aplikáciu vytvorenú v .NET alebo nahraním špeciálne vytvoreného súboru do desktopovej aplikácie Visual Studio.
CVE-2024-43625 (CVSS skóre 8,1)
Kritickú zraniteľnosť v komponente Windows VMSwitch, ktorý je súčasťou hypervízora Hyper-V, možno zneužiť na eskaláciu privilégií na úroveň oprávnení SYSTEM a následné vykonanie škodlivého kódu. Lokálny útočník by predmetnú zraniteľnosť mohol zneužiť zaslaním špeciálne vytvorenej sekvencie sieťových požiadaviek na ovládač VMSwitch, ktoré by umožnili použitie odalokovaného miesta v pamäti na Hyper-V hoste.
CVE-2024-43639 (CVSS skóre 9,8)
CVE-2024-43639 spočíva v chybnom skracovaní čísel pri konverzii dátových typov v kryptografickom protokole použitom v rámci komponentu Windows Kerberos. Vzdialený neautentifikovaný útočník by ju prostredníctvom špeciálne vytvorenej aplikácie mohol zneužiť na vzdialené vykonanie kódu.
CVE-2024-49056 (CVSS skóre 7,3)
Zraniteľnosť online platformy airlift.microsoft.com spočíva v nedostatočnej implementácii mechanizmov autentifikácie a vzdialený autentifikovaný útočník by ju mohol zneužiť na eskaláciu privilégií na platorme. Zraniteľnosť bola automaticky opravená spoločnosťou Microsoft a nevyžaduje dodatočnú aktualizáciu systémov.
II. Aktívne zneužívané zraniteľnosti:
CVE-2024-43451 (CVSS skóre 6,5)
Zraniteľnosť v komponente Windows NT LAN Manager by vzdialený neautentifikovaný útočník prostredníctvom podvrhnutia špeciálne vytvoreného súboru mohol zneužiť na získanie NTLMv2 hashu obete, ktorý možno v rámci spoofing útokov zneužiť na získanie neoprávneného prístupu do systému. Zneužitie zraniteľnosť vyžaduje interakciu zo strany používateľa, ktorý musí na škodlivý súbor kliknúť.
CVE-2024-49039 (CVSS skóre 8,8)
Windows Task Scheduler obsahuje zraniteľnosť spočívajúcu v nesprávnej implementácii mechanizmov autentifikácie, ktorá umožňuje eskaláciu privilégií na úroveň oprávnení Medium Integrity Level a následné vykonanie RPC (Remote Procedure Call) volaní. Lokálny autentifikovaný útočník by ju mohol zneužiť spustením špeciálne vytvorenej aplikácie v rámci AppContainer.
III. Významné vysoko závažné zraniteľnosti:
CVE-2024-49040 (CVSS skóre 7,5)
Vysoko závažná zraniteľnosť v Microsoft Exchange Server spočíva v nesprávnom overovaní poľa P2 FROM e-mailových hlavičiek a vzdialený neautentifikovaný útočník by ju mohol zneužiť na realizáciu e-mailových spoofing útokov. Zraniteľnosť umožňuje zobrazenie ľubovoľnej adresy odosielateľa v používateľskom rozhraní e-mailových klientov. Na uvedenú zraniteľnosť je v súčasnosti dostupný proof-of-concept kód demonštrujúci návod pre jej zneužitie. Bližšie informácie o zraniteľnosti sú dostupné na stránke spoločnosti Microsoft a blogu bezpečnostného výskumníka Slonser, ktorý ju odhalil.
CVE-2024-49019 (CVSS skóre 7,8)
Zraniteľnosť v rámci Active Directory Certificate Services umožňuje lokálnemu autentifikovanému útočníkovi zneužiť zabudované templaty certifikátov (napr. WebServer template) na vytvorenie CSR (Certificate Signing Request) požiadaviek vedúcich k eskalácii privilégií na úroveň doménového administrátora. Zraniteľné sú všetky certifikáty vytvorené použitím templatu verzie 1, na ktorých je pole „Source of subject name“ nastavené na hodnotu „Supplied in the request“ a templaty nie sú zabezpečené podľa návodu pre zabezpečenie PKI od spoločnosti Microsoft. Zraniteľnosť objavili bezpečnostní výskumníci zo spoločnosti TrustedSec, ktorá zverejnila aj kompletnú analýzu.
Možné škody:
- Vzdialené vykonanie kódu
- Eskalácia privilégií
- Neoprávnený prístup k citlivým údajom
- Zneprístupnenie služby
- Obídenie bezpečnostného prvku
- Spoofing
Odporúčania:
Bezodkladné nasadenie augustového balíka opráv na zraniteľné produkty spoločnosti Microsoft. Bližšie informácie nájdete tu.
Zdroje:
- https://msrc.microsoft.com/update-guide/releaseNote/2024-Nov
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43498
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43625
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43639
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49056
- https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-43451
- https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-49039
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49040
- https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/security-best-practices/exchange-non-compliant-p2from-detection?view=exchserver-2019
- https://blog.slonser.info/posts/email-attacks/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49019