Microsoft v rámci augustového Patch Tuesday opravil 9 kritických zraniteľností

August 15, 2024

Spoločnosť Microsoft vydala v auguste 2024 balík opráv pre portfólio svojich produktov opravujúci 90 zraniteľností, z ktorých 24 umožňuje vzdialené vykonávanie kódu. Kritické zraniteľnosti sa nachádzajú v produktoch Microsoft Dynamics 365, Microsoft Copilot Studio a Azure Health Bot a v komponentoch grub2, shim, Windows TCP/IP, Windows Reliable Multicast Transport Driver a Windows Network Virtualization. Zraniteľnosti s označením CVE-2024-38189, CVE-2024-38178, CVE-2024-38193, CVE-2024-38106, CVE-2024-38107 a CVE-2024-38213 sú aktívne zneužívané útočníkmi.

Zraniteľné systémy:

.NET 8.0
App Installer
Azure Connected Machine Agent
Azure CycleCloud 8.0.0
Azure CycleCloud 8.0.1
Azure CycleCloud 8.0.2
Azure CycleCloud 8.1.0
Azure CycleCloud 8.1.1
Azure CycleCloud 8.2.0
Azure CycleCloud 8.2.1
Azure CycleCloud 8.2.2
Azure CycleCloud 8.3.0
Azure CycleCloud 8.4.0
Azure CycleCloud 8.4.1
Azure CycleCloud 8.4.2
Azure CycleCloud 8.5.0
Azure CycleCloud 8.6.0
Azure CycleCloud 8.6.1
Azure CycleCloud 8.6.2
Azure Health Bot
Azure IoT Hub Device Client SDK
Azure Linux 3.0 ARM
Azure Linux 3.0 x64
Azure Stack Hub
C SDK for Azure IoT
CBL Mariner 1.0 ARM
CBL Mariner 1.0 x64
CBL Mariner 2.0 ARM
CBL Mariner 2.0 x64
Dynamics CRM Service Portal Web Resource
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft Copilot Studio
Microsoft Dynamics 365 (on-premises) version 9.1
Microsoft Edge (Chromium-based)
Microsoft Office 2016 (32-bit edition)
Microsoft Office 2016 (64-bit edition)
Microsoft Office 2019 for 32-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Office LTSC for Mac 2021
Microsoft OfficePLUS
Microsoft Outlook 2016 (32-bit edition)
Microsoft Outlook 2016 (64-bit edition)
Microsoft PowerPoint 2016 (32-bit edition)
Microsoft PowerPoint 2016 (64-bit edition)
Microsoft Project 2016 (32-bit edition)
Microsoft Project 2016 (64-bit edition)
Microsoft Teams for iOS
Microsoft Visual Studio 2022 version 17.10
Microsoft Visual Studio 2022 version 17.6
Microsoft Visual Studio 2022 version 17.8
Remote Desktop client for Windows Desktop
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
Windows 11 Version 24H2 for x64-based Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)

Opis činnosti:

Kritické zraniteľnosti:

CVE-2024-38063 (CVSS skóre 9,8)

Kritickú zraniteľnosť v komponente Windows TCP/IP by vzdialený neautentifikovaný útočník prostredníctvom zaslania špeciálne vytvorených IPv6 paketov mohol zneužiť na vzdialené vykonanie škodlivého kódu. Zraniteľnosť je možné zneužiť len na systémoch s aktivovaným IPv6 a možno ju mitigovať vypnutím podpory IPv6.

CVE-2024-38140 (CVSS skóre 9,8)

Komponent RMCAST (Windows Reliable Multicast Transport Driver) obsahuje zraniteľnosť, ktorú by vzdialený neautentifikovaný útočník mohol zneužiť na vzdialené vykonanie kódu. Zraniteľnosť je možné zneužiť len v prípade, že je aktivovaná funkcia PGM (Pragmatic General Multicast) a ľubovoľná aplikácia počúva na PGM porte.

CVE-2024-38109 (CVSS skóre 9,1)

Zraniteľnosť v produkte Azure Health Bot sa nachádzajú v komponente Scenario Editor a spočívajú v nesprávnom spracovaní HTTP odpovedí obsahujúcich presmerovanie. Vzdialený neautentifikovaný útočník by ju prostredníctvom SSRF útoku mohol zneužiť na získanie prihlasovacích tokenov a neoprávnený prístup do systému. Zraniteľnosť odhalili bezpečnostní výskumníci zo spoločnosti TENABLE.

CVE-2024-38159, CVE-2024-38160 (CVSS skóre 9,1)

Zraniteľnosti v komponente Windows Network Virtualization spočívajú v použití odalokovaného miesta v pamäti a pretečení medzipamäte haldy. Vzdialený autentifikovaný útočník by ich mohol prostredníctvom úpravy obsahu MDL (Memory Descriptor List) zneužiť na vzdialené vykonanie škodlivého kódu. Zneužitie zraniteľnosti vyžaduje vysoké privilégiá umožňujúce manipuláciu bežiacich procesov

CVE-2024-38206 (CVSS skóre 8,5)

Zraniteľnosť v produkte Microsoft Copilot Studio by vzdialený autentifikovaný útočník mohol zneužiť obídenie bezpečnostných mechanizmov ochrany pred SSRF (Server Side Request Forgery) a získanie neoprávneného prístupu k citlivým údajom.

CVE-2024-38166 (CVSS skóre 8,2)

Nesprávna neutralizácia vstupov pri generovaní webového obsahu v produkte Microsoft Dynamics 365 umožňuje realizáciu XSS (Cross Site Scripting) útokov. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí kliknúť na útočníkom podvrhnutý odkaz.

CVE-2023-40547, CVE-2022-3775 (CVSS skóre 8,3 a 7,1)

Spoločnosť Microsoft opravila aj zraniteľnosti linuxových nástrojov grub2 a shim, ktoré umožňovali obídenie bezpečnostných mechanizmov Secure Boot a následné vykonanie škodlivého kódu.

Aktívne zneužívané zero-day zraniteľnosti:

Aktívne zneužívané zraniteľnosti sa nachádzajú v produkte Microsoft Project (CVE-2024-38189) a komponentoch Windows Scripting Engine (CVE-2024-38178), Ancillary Function Driver (CVE-2024-38193), Kernel (CVE-2024-38106), Power Dependency Coordination (CVE-2024-38107) a bezpečnostnom mechanizme Mark of the Web Security (CVE-2024-38213). Uvedené zraniteľnosti možno zneužiť na vzdialené vykonanie kódu, eskaláciu privilégií a obídenie bezpečnostných mechanizmov SmartScreen.

Možné škody: