Microsoft v rámci decembrového Patch Tuesday opravil 17 kritických zraniteľností

Spoločnosť Microsoft vydala v decembri 2024 balík opráv pre portfólio svojich produktov opravujúci 72 zraniteľností, z ktorých 31 umožňuje vzdialené vykonávanie kódu. Kritické zraniteľnosti sa nachádzajú v komponentoch Windows Remote Desktop Services a Client, Windows Lightweight Directory Access Protocol a Client, Windows Hyper-V, Microsoft Message Queuing, Windows Local Security Authority Subsystem Service a možno ich zneužiť vzdialené vykonanie škodlivého kódu. Zraniteľnosť v komponente Windows Common Log File System Driver (CVE-2024-49138) v súčasnosti útočníci aktívne zneužívajú.

Zraniteľné systémy:

  • Microsoft 365 Apps for Enterprise for 32-bit Systems
  • Microsoft 365 Apps for Enterprise for 64-bit Systems
  • Microsoft Access 2016 (32-bit edition)
  • Microsoft Access 2016 (64-bit edition)
  • Microsoft Defender for Endpoint for Android
  • Microsoft Excel 2016 (32-bit edition)
  • Microsoft Excel 2016 (64-bit edition)
  • Microsoft Office 2016 (32-bit edition)
  • Microsoft Office 2016 (64-bit edition)
  • Microsoft Office 2019 for 32-bit editions
  • Microsoft Office 2019 for 64-bit editions
  • Microsoft Office LTSC 2021 for 32-bit editions
  • Microsoft Office LTSC 2021 for 64-bit editions
  • Microsoft Office LTSC 2024 for 32-bit editions
  • Microsoft Office LTSC 2024 for 64-bit editions
  • Microsoft Office LTSC for Mac 2021
  • Microsoft Office LTSC for Mac 2024
  • Microsoft SharePoint Enterprise Server 2016
  • Microsoft SharePoint Server 2019
  • Microsoft SharePoint Server Subscription Edition
  • Microsoft Word 2016 (32-bit edition)
  • Microsoft Word 2016 (64-bit edition)
  • Microsoft/Muzic
  • Remote Desktop client for Windows Desktop
  • System Center Operations Manager (SCOM) 2019
  • System Center Operations Manager (SCOM) 2022
  • System Center Operations Manager (SCOM) 2025
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 Version 1607 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 21H2 for 32-bit Systems
  • Windows 10 Version 21H2 for ARM64-based Systems
  • Windows 10 Version 21H2 for x64-based Systems
  • Windows 10 Version 22H2 for 32-bit Systems
  • Windows 10 Version 22H2 for ARM64-based Systems
  • Windows 10 Version 22H2 for x64-based Systems
  • Windows 10 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 11 Version 22H2 for ARM64-based Systems
  • Windows 11 Version 22H2 for x64-based Systems
  • Windows 11 Version 23H2 for ARM64-based Systems
  • Windows 11 Version 23H2 for x64-based Systems
  • Windows 11 Version 24H2 for ARM64-based Systems
  • Windows 11 Version 24H2 for x64-based Systems
  • Windows App Client for Windows Desktop
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2022
  • Windows Server 2022 (Server Core installation)
  • Windows Server 2022, 23H2 Edition (Server Core installation)
  • Windows Server 2025
  • Windows Server 2025 (Server Core installation)

Opis činnosti:

I. Kritické zraniteľnosti:

CVE-2024-49105 (CVSS skóre 8,4)

Kritická zraniteľnosť v Remote Desktop Client spočíva v nesprávnej implementácii mechanizmov riadenia prístupu a vzdialený útočník by ju mohol zneužiť na vzdialené vykonanie kódu. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa s oprávneniami administrátora, ktorý musí iniciovať spojenie Remote Desktop (RDP) na škodlivý server pod kontrolou útočníka.

CVE-2024-49106, CVE-2024-49108, CVE-2024-49115, CVE-2024-49116, CVE-2024-49119, CVE-2024-49120, CVE-2024-49123, CVE-2024-49128, CVE-2024-49132 (CVSS skóre 8,1)

Zraniteľnosti v komponente Windows Remote Desktop Services spočívajú v použití odalokovaného miesta v pamäti a nedostatočnom zabezpečení citlivých údajov v pamäti (CVE-2024-49106, CVE-2024-49108, CVE-2024-49115, CVE-2024-49116, CVE-2024-49123, CVE-2024-49128, CVE-2024-49132), nesprávnom vyhodnocovaní dátových typov (CVE-2024-49119) a nesprávnej inicializácii premenných (CVE-2024-49120) a umožňujú vzdialené vykonanie kódu. Zraniteľnosť možno zneužiť pripojením sa na zraniteľné systémy v konfigurácii Remote Desktop Gateway. Úspešné zneužitie zraniteľností vyžaduje, aby útočník vyhral súbeh procesov.

CVE-2024-49112 (CVSS skóre 9,8)

Komponent Windows Lightweight Directory Access Protocol (LDAP) obsahuje kritickú zraniteľnosť, ktorú by vzdialený neautentifikovaný útočník prostredníctvom špeciálne vytvorených volaní LDAP mohol zneužiť na vzdialené vykonanie kódu. Pokusy o zneužitie zraniteľnosti je možné mitigovať aj blokovaním prichádzajúcich volaní RPC z nedôveryhodných sietí v nastaveniach doménového radiča.

CVE-2024-49124, CVE-2024-49127 (CVSS skóre 8,1)

Zraniteľnosti v Windows Lightweight Directory Access Protocol (LDAP) spočívajú v použití odalokovaného miesta v pamäti a v nesprávnej synchronizácii procesov pri prístupe ku zdieľaným zdrojom. Vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorených požiadaviek mohol zneužiť na vzdialené vykonanie kódu s oprávneniami používateľa SYSTEM. Zneužitie zraniteľnosti vyžaduje, aby útočník vyhral súbeh procesov.

CVE-2024-49117 (CVSS skóre 8,8)

Zraniteľnosť v hypervízore Hyper-V spočíva v generovaní nesprávnych stavových kódov a možno ju zneužiť na vzdialené vykonanie kódu na hostiteľskom serveri. Zneužitie zraniteľnosti vyžaduje, aby autentifikovaný útočník z virtuálneho stroja (VM) zaslal špeciálne vytvorenú požiadavku pre manipuláciu so súbormi na hardvérové zdroje VM. Úspešné zneužitie zraniteľnosti môže viesť k tzv. cross-VM útoku, v rámci ktorého na hostiteľskom zariadení dochádza ku kompromitácii viacerých virtuálnych strojov.

CVE-2024-49122, CVE-2024-49118 (CVSS skóre 8,1)

Zraniteľnosti v komponente Microsoft Message Queuing (MSMQ) spočívajú v použití odalokovaného miesta v pamäti a umožňujú vzdialené vykonanie kódu. Zraniteľnosť je možné zneužiť zaslaním špeciálne vytvorených MSMQ paketov na MSMQ server. Úspešné zneužitie zraniteľnosti je časovo náročné, nakoľko vyžaduje, aby útočník vyhral súbeh procesov.

CVE-2024-49126 (CVSS skóre 8,1)

Windows Local Security Authority Subsystem Service (LSASS) obsahuje zraniteľnosť spočívajúcu v použití odalokovaného miesta v pamäti a nedostatočnom zabezpečení citlivých údajov v pamäti. Vzdialený neautentifikovaný útočník by ju prostredníctvom špeciálnych sieťových volaní mohol zneužiť na vzdialené vykonanie kódu. Úspešné zneužitie zraniteľnosti vyžaduje, aby útočník vyhral súbeh procesov.

II. Aktívne zneužívané zraniteľnosti:

CVE-2024-49138 (CVSS skóre 7,8)

Zraniteľnosť nachádzajúca sa v komponente Windows Common Log File System Driver spočíva v pretečení medzipamäte haldy a vzdialený autentifikovaný útočník by ju mohol zneužiť na eskaláciu privilégií na úroveň oprávnení SYSTEM. Zraniteľnosť v súčasnosti aktívne zneužívajú útočníci.

Možné škody:

  • Vzdialené vykonanie kódu
  • Eskalácia privilégií

Odporúčania:

Bezodkladné nasadenie decembrového balíka opráv na zraniteľné produkty spoločnosti Microsoft. Bližšie informácie nájdete tu.

Zdroje: