Microsoft v rámci augustového Patch Tuesday opravil 9 kritických zraniteľností

Spoločnosť Microsoft vydala v auguste 2024 balík opráv pre portfólio svojich produktov opravujúci 90 zraniteľností, z ktorých 24 umožňuje vzdialené vykonávanie kódu. Kritické zraniteľnosti sa nachádzajú v produktoch Microsoft Dynamics 365, Microsoft Copilot Studio a Azure Health Bot a v komponentoch grub2, shim, Windows TCP/IP, Windows Reliable Multicast Transport Driver a Windows Network Virtualization. Zraniteľnosti s označením CVE-2024-38189, CVE-2024-38178, CVE-2024-38193, CVE-2024-38106, CVE-2024-38107 a CVE-2024-38213 sú aktívne zneužívané útočníkmi.

Zraniteľné systémy:

  • .NET 8.0
  • App Installer
  • Azure Connected Machine Agent
  • Azure CycleCloud 8.0.0
  • Azure CycleCloud 8.0.1
  • Azure CycleCloud 8.0.2
  • Azure CycleCloud 8.1.0
  • Azure CycleCloud 8.1.1
  • Azure CycleCloud 8.2.0
  • Azure CycleCloud 8.2.1
  • Azure CycleCloud 8.2.2
  • Azure CycleCloud 8.3.0
  • Azure CycleCloud 8.4.0
  • Azure CycleCloud 8.4.1
  • Azure CycleCloud 8.4.2
  • Azure CycleCloud 8.5.0
  • Azure CycleCloud 8.6.0
  • Azure CycleCloud 8.6.1
  • Azure CycleCloud 8.6.2
  • Azure Health Bot
  • Azure IoT Hub Device Client SDK
  • Azure Linux 3.0 ARM
  • Azure Linux 3.0 x64
  • Azure Stack Hub
  • C SDK for Azure IoT
  • CBL Mariner 1.0 ARM
  • CBL Mariner 1.0 x64
  • CBL Mariner 2.0 ARM
  • CBL Mariner 2.0 x64
  • Dynamics CRM Service Portal Web Resource
  • Microsoft 365 Apps for Enterprise for 32-bit Systems
  • Microsoft 365 Apps for Enterprise for 64-bit Systems
  • Microsoft Copilot Studio
  • Microsoft Dynamics 365 (on-premises) version 9.1
  • Microsoft Edge (Chromium-based)
  • Microsoft Office 2016 (32-bit edition)
  • Microsoft Office 2016 (64-bit edition)
  • Microsoft Office 2019 for 32-bit editions
  • Microsoft Office 2019 for 64-bit editions
  • Microsoft Office LTSC 2021 for 32-bit editions
  • Microsoft Office LTSC 2021 for 64-bit editions
  • Microsoft Office LTSC for Mac 2021
  • Microsoft OfficePLUS
  • Microsoft Outlook 2016 (32-bit edition)
  • Microsoft Outlook 2016 (64-bit edition)
  • Microsoft PowerPoint 2016 (32-bit edition)
  • Microsoft PowerPoint 2016 (64-bit edition)
  • Microsoft Project 2016 (32-bit edition)
  • Microsoft Project 2016 (64-bit edition)
  • Microsoft Teams for iOS
  • Microsoft Visual Studio 2022 version 17.10
  • Microsoft Visual Studio 2022 version 17.6
  • Microsoft Visual Studio 2022 version 17.8
  • Remote Desktop client for Windows Desktop
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 Version 1607 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 21H2 for 32-bit Systems
  • Windows 10 Version 21H2 for ARM64-based Systems
  • Windows 10 Version 21H2 for x64-based Systems
  • Windows 10 Version 22H2 for 32-bit Systems
  • Windows 10 Version 22H2 for ARM64-based Systems
  • Windows 10 Version 22H2 for x64-based Systems
  • Windows 10 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 11 Version 22H2 for ARM64-based Systems
  • Windows 11 Version 22H2 for x64-based Systems
  • Windows 11 Version 23H2 for ARM64-based Systems
  • Windows 11 Version 23H2 for x64-based Systems
  • Windows 11 Version 24H2 for ARM64-based Systems
  • Windows 11 Version 24H2 for x64-based Systems
  • Windows 11 version 21H2 for ARM64-based Systems
  • Windows 11 version 21H2 for x64-based Systems
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2022
  • Windows Server 2022 (Server Core installation)
  • Windows Server 2022, 23H2 Edition (Server Core installation)

Opis činnosti:

  1. Kritické zraniteľnosti:

CVE-2024-38063 (CVSS skóre 9,8)

Kritickú zraniteľnosť v komponente Windows TCP/IP by vzdialený neautentifikovaný útočník prostredníctvom zaslania špeciálne vytvorených IPv6 paketov mohol zneužiť na vzdialené vykonanie škodlivého kódu. Zraniteľnosť je možné zneužiť len na systémoch s aktivovaným IPv6 a možno ju mitigovať vypnutím podpory IPv6.

CVE-2024-38140 (CVSS skóre 9,8)

Komponent RMCAST (Windows Reliable Multicast Transport Driver) obsahuje zraniteľnosť, ktorú by vzdialený neautentifikovaný útočník mohol zneužiť na vzdialené vykonanie kódu. Zraniteľnosť je možné zneužiť len v prípade, že je aktivovaná funkcia PGM (Pragmatic General Multicast) a ľubovoľná aplikácia počúva na PGM porte.

CVE-2024-38109 (CVSS skóre 9,1)

Zraniteľnosť v produkte Azure Health Bot sa nachádzajú v komponente Scenario Editor a spočívajú v nesprávnom spracovaní HTTP odpovedí obsahujúcich presmerovanie. Vzdialený neautentifikovaný útočník by ju prostredníctvom SSRF útoku mohol zneužiť na získanie prihlasovacích tokenov a neoprávnený prístup do systému. Zraniteľnosť odhalili bezpečnostní výskumníci zo spoločnosti TENABLE.

CVE-2024-38159, CVE-2024-38160 (CVSS skóre 9,1)

Zraniteľnosti v komponente Windows Network Virtualization spočívajú v použití odalokovaného miesta v pamäti a pretečení medzipamäte haldy. Vzdialený autentifikovaný útočník by ich mohol prostredníctvom úpravy obsahu MDL (Memory Descriptor List) zneužiť na vzdialené vykonanie škodlivého kódu. Zneužitie zraniteľnosti vyžaduje vysoké privilégiá umožňujúce manipuláciu bežiacich procesov

CVE-2024-38206 (CVSS skóre 8,5)

Zraniteľnosť v produkte Microsoft Copilot Studio by vzdialený autentifikovaný útočník mohol zneužiť obídenie bezpečnostných mechanizmov ochrany pred SSRF (Server Side Request Forgery) a získanie neoprávneného prístupu k citlivým údajom.

CVE-2024-38166 (CVSS skóre 8,2)

Nesprávna neutralizácia vstupov pri generovaní webového obsahu v produkte Microsoft Dynamics 365 umožňuje realizáciu XSS (Cross Site Scripting) útokov. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí kliknúť na útočníkom podvrhnutý odkaz.

CVE-2023-40547, CVE-2022-3775 (CVSS skóre 8,3 a 7,1)

Spoločnosť Microsoft opravila aj zraniteľnosti linuxových nástrojov grub2 a shim, ktoré umožňovali obídenie bezpečnostných mechanizmov Secure Boot a následné vykonanie škodlivého kódu.

  1. Aktívne zneužívané zero-day zraniteľnosti:

Aktívne zneužívané zraniteľnosti sa nachádzajú v produkte Microsoft Project (CVE-2024-38189) a komponentoch Windows Scripting Engine (CVE-2024-38178), Ancillary Function Driver (CVE-2024-38193), Kernel (CVE-2024-38106), Power Dependency Coordination (CVE-2024-38107) a bezpečnostnom mechanizme Mark of the Web Security (CVE-2024-38213). Uvedené zraniteľnosti možno zneužiť na vzdialené vykonanie kódu, eskaláciu privilégií a obídenie bezpečnostných mechanizmov SmartScreen.

Možné škody:

  • Vzdialené vykonanie kódu
  • Eskalácia privilégií
  • Neoprávnený prístup k citlivým údajom
  • Zneprístupnenie služby
  • Obídenie bezpečnostného prvku
  • Neoprávnená zmena v systéme

Odporúčania:

Bezodkladné nasadenie augustového balíka opráv na zraniteľné produkty spoločnosti Microsoft. Bližšie informácie nájdete tu.

Zdroje:

https://msrc.microsoft.com/update-guide/releaseNote/2024-Aug

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-3775

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-40547

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38109

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38140

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38159

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38160

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38166

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38206

https://www.tenable.com/blog/compromising-microsofts-ai-healthcare-chatbot-service