Microsoft v rámci júlového Patch Tuesday opravil kritické a zero-day zraniteľnosti

July 11, 2024

Spoločnosť Microsoft vydala v júli 2024 balík opráv pre portfólio svojich produktov opravujúci 139 zraniteľností, z ktorých 54 umožňuje vzdialené vykonávanie kódu. Kritické zraniteľnosti sa nachádzajú v produkte Microsoft SharePoint Server a komponentoch Windows Imaging Component a Windows Remote Desktop Licensing Service. Zero-day zraniteľnosti s označením CVE-2024-38080 a CVE-2024-38112 sú aktívne zneužívané útočníkmi.

Zraniteľné systémy:

.NET 8.0
Azure CycleCloud 7.9.0
Azure CycleCloud 7.9.1
Azure CycleCloud 7.9.10
Azure CycleCloud 7.9.11
Azure CycleCloud 7.9.2
Azure CycleCloud 7.9.3
Azure CycleCloud 7.9.4
Azure CycleCloud 7.9.5
Azure CycleCloud 7.9.6
Azure CycleCloud 7.9.7
Azure CycleCloud 7.9.8
Azure CycleCloud 7.9.9
Azure CycleCloud 8.0.0
Azure CycleCloud 8.0.1
Azure CycleCloud 8.0.2
Azure CycleCloud 8.1.0
Azure CycleCloud 8.1.1
Azure CycleCloud 8.2.0
Azure CycleCloud 8.2.1
Azure CycleCloud 8.2.2
Azure CycleCloud 8.3.0
Azure CycleCloud 8.4.0
Azure CycleCloud 8.4.1
Azure CycleCloud 8.4.2
Azure CycleCloud 8.5.0
Azure CycleCloud 8.6.0
Azure DevOps Server 2022.1
Azure Kinect SDK
Azure Network Watcher VM Extension for Windows
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 AND 4.7.2
Microsoft .NET Framework 3.5 AND 4.8
Microsoft .NET Framework 3.5 AND 4.8.1
Microsoft .NET Framework 3.5.1
Microsoft .NET Framework 4.6.2
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2
Microsoft .NET Framework 4.6/4.6.2
Microsoft .NET Framework 4.8
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft Defender for IoT
Microsoft Dynamics 365 (on-premises) version 9.1
Microsoft OLE DB Driver 18 for SQL Server
Microsoft OLE DB Driver 19 for SQL Server
Microsoft Office 2016 (32-bit edition)
Microsoft Office 2016 (64-bit edition)
Microsoft Office 2019 for 32-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Outlook 2016 (32-bit edition)
Microsoft Outlook 2016 (64-bit edition)
Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 (GDR)
Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 Azure Connect Feature Pack
Microsoft SQL Server 2017 for x64-based Systems (CU 31)
Microsoft SQL Server 2017 for x64-based Systems (GDR)
Microsoft SQL Server 2019 for x64-based Systems (CU 27)
Microsoft SQL Server 2019 for x64-based Systems (GDR)
Microsoft SQL Server 2022 for x64-based Systems (CU 13)
Microsoft SQL Server 2022 for x64-based Systems (GDR)
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Server 2019
Microsoft SharePoint Server Subscription Edition
Microsoft Visual Studio 2022 version 17.10
Microsoft Visual Studio 2022 version 17.4
Microsoft Visual Studio 2022 version 17.6
Microsoft Visual Studio 2022 version 17.8
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)

Opis činnosti:

Spoločnosť Microsoft opravila v rámci svojho pravidelného balíka aktualizácií Patch Tuesday 139 zraniteľností, z toho je 5 je označených ako kritické a 4 ako zero-day. Najzávažnejšie zraniteľnosti možno zneužiť na vzdialené vykonanie kódu, eskaláciu privilégií, obídenie bezpečnostných prvkov, získanie neoprávneného prístupu k citlivým údajom, či zneprístupnenie služby. Zero-day zraniteľnosti s označením CVE-2024-38080 a CVE-2024-38112 sú aktívne zneužívané útočníkmi.

Kritické zraniteľnosti:

CVE-2024-38074, CVE-2024-38076, CVE-2024-38077 (CVSS skóre 9,8)

Kritické zraniteľnosti v komponente Windows Remote Desktop Licencing Service spočívajú v podtečení celočíselnej premennej (CVE-2024-38074) a pretečení medzipamäte haldy (CVE-2024-38076, CVE-2024-38077). Vzdialený neautentifikovaný útočník by ich prostredníctvom zaslania špeciálne vytvorených paketov alebo správ mohol zneužiť na vykonanie škodlivého kódu.

CVE-2024-38060 (CVSS skóre 8,8)

Komponent Windows Imaging Component obsahuje zraniteľnosť, ktorá umožňuje vzdialené vykonanie škodlivého kódu. Úspešné zneužitie zraniteľnosti vyžaduje, aby autentifikovaný útočník nahral škodlivý TIFF súbor na zraniteľný server.

CVE-2024-38023 (CVSS skóre 7,2)

Zraniteľnosť v produkte Microsoft SharePoint Server umožňuje vzdialenému autentifikovanému útočníkovi s oprávneniami úrovne „Site Owner“ alebo vyššie vykonať škodlivý kód v kontexte SharePoint servera. Zraniteľnosť je možné zneužiť nahraním špeciálne vytvoreného súboru a následným zaslaním špeciálne vytvorenej API požiadavky, ktorá vedie k deserializácii parametrov tohto súboru.

Zero-day zraniteľnosti:

CVE-2024-38080 (CVSS skóre 7,8)

Zraniteľnosť v komponente Hyper-V spočíva v pretečení celočíselnej premennej a vzdialený autentifikovaný útočník by ju mohol zneužiť na eskaláciu privilégií na úroveň používateľa SYSTEM. Zraniteľnosť je v súčasnosti aktívne zneužívaná útočníkmi.

CVE-2024-38112 (CVSS skóre 7,5)

Komponent MSHTML Platform obsahuje aktívne zneužívanú zraniteľnosť, ktorú možno zneužiť na vykonanie bližšie nešpecifikovaných spoofing útokov. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí spustiť škodlivý súbor vytvorený útočníkom.

CVE-2024-35264 (CVSS skóre 8,1)

CVE-2024-35264 v produktoch .NET a Visual Studio Code spočíva v použití odalokovaného miesta v pamäti, ktoré možno zneužiť na vzdialené vykonanie kódu. Pre úspešné zneužitie zraniteľnosti musí útočník vyhrať súbeh procesov, čo môže docieliť prerušením http/3 streamu počas prebiehajúceho spracovávania tela požiadavky.

CVE-2024-37985 (CVSS skóre 5,9)

Windows 11 verzie 23H2 a 22H2 pre platformu ARM obsahujú zraniteľnosť, ktorú by lokálny neautentifikovaný útočník mohol zneužiť na získanie neoprávneného prístupu k obsahu haldy privilegovaného procesu bežiaceho na serveri.

Možné škody: