Microsoft v rámci júnového Patch Tuesday opravil kritickú zraniteľnosť v MSMQ

Spoločnosť Microsoft vydala v júni 2024 balík opráv pre portfólio svojich produktov opravujúci 51 zraniteľností, z ktorých 18 umožňuje vzdialené vykonávanie kódu. Kritická bezpečnostná zraniteľnosť sa nachádza v produkte Microsoft Message Queuing.

Zraniteľné systémy:

  • Azure Data Science Virtual Machines for Linux
  • Azure File Sync v16.0
  • Azure File Sync v17.0
  • Azure File Sync v18.0
  • Azure Identity Library for .NET
  • Azure Identity Library for C++
  • Azure Identity Library for Go
  • Azure Identity Library for Java
  • Azure Identity Library for JavaScript
  • Azure Identity Library for Python
  • Azure Monitor Agent
  • Azure Storage Movement Client Library for .NET
  • Microsoft 365 Apps for Enterprise for 32-bit Systems
  • Microsoft 365 Apps for Enterprise for 64-bit Systems
  • Microsoft Authentication Library (MSAL) for .NET
  • Microsoft Authentication Library (MSAL) for Java
  • Microsoft Authentication Library (MSAL) for Node.js
  • Microsoft Dynamics 365 (on-premises) version 9.1
  • Microsoft Dynamics 365 Business Central 2023 Release Wave 1
  • Microsoft Dynamics 365 Business Central 2023 Release Wave 2
  • Microsoft Dynamics 365 Business Central 2024 Release Wave 1
  • Microsoft Office 2016 (32-bit edition)
  • Microsoft Office 2016 (64-bit edition)
  • Microsoft Office 2019 for 32-bit editions
  • Microsoft Office 2019 for 64-bit editions
  • Microsoft Office LTSC 2021 for 32-bit editions
  • Microsoft Office LTSC 2021 for 64-bit editions
  • Microsoft Outlook 2016 (32-bit edition)
  • Microsoft Outlook 2016 (64-bit edition)
  • Microsoft SharePoint Enterprise Server 2016
  • Microsoft SharePoint Server 2019
  • Microsoft SharePoint Server Subscription Edition
  • Microsoft Visual Studio 2017 version 15.9 (includes 15.0 – 15.8)
  • Microsoft Visual Studio 2019 version 16.11 (includes 16.0 – 16.10)
  • Microsoft Visual Studio 2022 version 17.10
  • Microsoft Visual Studio 2022 version 17.4
  • Microsoft Visual Studio 2022 version 17.6
  • Microsoft Visual Studio 2022 version 17.8
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 Version 1607 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 21H2 for 32-bit Systems
  • Windows 10 Version 21H2 for ARM64-based Systems
  • Windows 10 Version 21H2 for x64-based Systems
  • Windows 10 Version 22H2 for 32-bit Systems
  • Windows 10 Version 22H2 for ARM64-based Systems
  • Windows 10 Version 22H2 for x64-based Systems
  • Windows 10 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 11 Version 22H2 for ARM64-based Systems
  • Windows 11 Version 22H2 for x64-based Systems
  • Windows 11 Version 23H2 for ARM64-based Systems
  • Windows 11 Version 23H2 for x64-based Systems
  • Windows 11 version 21H2 for ARM64-based Systems
  • Windows 11 version 21H2 for x64-based Systems
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2022
  • Windows Server 2022 (Server Core installation)
  • Windows Server 2022, 23H2 Edition (Server Core installation)

Opis činnosti:

Spoločnosť Microsoft opravila v rámci svojho pravidelného balíka aktualizácií Patch Tuesday 51 zraniteľností, z toho je 1 je označená ako kritická. Najzávažnejšie zraniteľnosti umožňujú vzdialené vykonanie kódu, eskaláciu privilégií, získanie neoprávneného prístupu k citlivým údajom, či zneprístupnenie služby. Zraniteľnosti zatiaľ nie sú aktívne zneužívané.

CVE-2024-30080 (CVSS skóre 9,8)

Kritická zraniteľnosť v produkte Microsoft Message Queuing (MSMQ) spočíva vo využití odalokovaného miesta v pamäti a umožňuje vzdialenému neautentifikovanému útočníkovi vykonanie škodlivého kódu na MSMQ serveri. Zraniteľnosť je možné zneužiť zaslaním špeciálne vytvoreného MSMQ paketu. Nakoľko sa jedná o voliteľnú súčasť operačných systémov Windows, zraniteľnosť možno zneužiť len na systémoch, kde je aktivovaná.

CVE-2024-30103 (CVSS skóre 8,8)

Zraniteľnosť v Microsoft Outlook umožňuje obídenie blacklist v registroch Outlook a vzdialený autentifikovaný útočník by ju mohol zneužiť na vykonanie škodlivého kódu na úrovni použivateľských oprávnení obete. Jedná sa o tzv. zero-click zraniteľnosť, ktorá nevyžaduje priamo interakciu s obsahom e-mailu a k jej zneužitiu dochádza pri otvorení e-mailu. Bezpečnostní výskumníci plánujú v auguste zverejniť aj proof-of-concept kód demonštrujúci návod na zneužitie zraniteľnosti.

Možné škody:

  • Vzdialené vykonanie kódu
  • Eskalácia privilégií
  • Neoprávnený prístup k citlivým údajom
  • Zneprístupnenie služby

Odporúčania:

Bezodkladné nasadenie júnového balíka opráv na zraniteľné produkty spoločnosti Microsoft, ku ktorým aktualizácie nájdete tu.

Zdroje:

https://msrc.microsoft.com/update-guide/releaseNote/2024-Jun

https://thehackernews.com/2024/06/microsoft-issues-patches-for-51-flaws.html

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30080

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30103

https://blog.morphisec.com/cve-2024-30103-microsoft-outlook-vulnerability