Microsoft v rámci Patch Tuesday opravil aktívne zneužívané zero-day zraniteľnosti

Spoločnosť Microsoft vydala v máji 2024 balík opráv pre portfólio svojich produktov opravujúci 61 zraniteľností, z ktorých 28 umožňuje vzdialené vykonávanie kódu. Tri zraniteľnosti sú typu zero-day a dve z nich sú aktívne zneužívané.

Zraniteľné systémy:

  • .NET 7.0
  • .NET 8.0
  • Azure Migrate
  • Dynamics 365 Customer Insights
  • Microsoft 365 Apps for Enterprise for 32-bit Systems
  • Microsoft 365 Apps for Enterprise for 64-bit Systems
  • Microsoft Bing Search for iOS
  • Microsoft Edge (Chromium-based)
  • Microsoft Excel 2016 (32-bit edition)
  • Microsoft Excel 2016 (64-bit edition)
  • Microsoft Intune Mobile Application Management for Android
  • Microsoft Office 2019 for 32-bit editions
  • Microsoft Office 2019 for 64-bit editions
  • Microsoft Office LTSC 2021 for 32-bit editions
  • Microsoft Office LTSC 2021 for 64-bit editions
  • Microsoft Office LTSC for Mac 2021
  • Microsoft SharePoint Enterprise Server 2016
  • Microsoft SharePoint Server 2019
  • Microsoft SharePoint Server Subscription Edition
  • Microsoft Visual Studio 2017 version 15.9 (includes 15.0 – 15.8)
  • Microsoft Visual Studio 2019 version 16.11 (includes 16.0 – 16.10)
  • Microsoft Visual Studio 2022 version 17.4
  • Microsoft Visual Studio 2022 version 17.6
  • Microsoft Visual Studio 2022 version 17.8
  • Microsoft Visual Studio 2022 version 17.9
  • Office Online Server
  • PowerBI-client JS SDK
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 Version 1607 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 21H2 for 32-bit Systems
  • Windows 10 Version 21H2 for ARM64-based Systems
  • Windows 10 Version 21H2 for x64-based Systems
  • Windows 10 Version 22H2 for 32-bit Systems
  • Windows 10 Version 22H2 for ARM64-based Systems
  • Windows 10 Version 22H2 for x64-based Systems
  • Windows 10 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 11 Version 22H2 for ARM64-based Systems
  • Windows 11 Version 22H2 for x64-based Systems
  • Windows 11 Version 23H2 for ARM64-based Systems
  • Windows 11 Version 23H2 for x64-based Systems
  • Windows 11 version 21H2 for ARM64-based Systems
  • Windows 11 version 21H2 for x64-based Systems
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2022
  • Windows Server 2022 (Server Core installation)
  • Windows Server 2022, 23H2 Edition (Server Core installation)

Opis činnosti:

Spoločnosť Microsoft opravila v rámci svojho pravidelného balíka aktualizácií Patch Tuesday 61 zraniteľností, z toho je 1 kritická a 3 zero-day. Najzávažnejšie zraniteľnosti umožňujú vzdialené vykonanie kódu, eskaláciu privilégií, získanie neoprávneného prístupu k citlivým údajom, obídenie bezpečnostných prvkov, či zneprístupnenie služby. Zero-day zraniteľnosti CVE-2024-30040 a CVE-2024-30051 sú aktívne zneužívané.

CVE-2024-30044 (CVSS skóre 8,8)

Kritická zraniteľnosť v produkte Microsoft SharePoint Server umožňuje vzdialenému autentifikovanému útočníkovi s oprávneniami „Site Owner“ vykonať škodlivý kód v kontexte SharePoint servera. Zraniteľnosť je možné zneužiť uploadovaním špeciálne vytvoreného súboru a následným zaslaním špeciálne vytvorenej API požiadavky, ktorá vedie k deserializácii parametrov tohto súboru.

CVE-2024-30040 (CVSS skóre 8,8)

Aktívne zneužívaná zero-day zraniteľnosť operačného systému Windows sa nachádza v komponente MSHTML Platform a jej zneužitie umožňuje obídenie bezpečnostných prvkov pre riadenie COM/OLE a následné vykonanie škodlivého kódu. Zneužitie zraniteľnosti vyžaduje interakciu používateľa, ktorý musí stiahnuť špeciálne vytvorený súbor (nemusí ho nevyhnutne otvoriť).

CVE-2024-30051 (CVSS skóre 7,8)

Zero-day zraniteľnosť v knižnici Windows DWM Core Library by lokálny autentifikovaný útočník s oprávneniami štandardného používateľa mohol prostredníctvom zaslania špeciálne vytvorenej požiadavky zneužiť na eskaláciu privilégií (úroveň SYSTEM) a získanie úplnej kontroly nad systémom. Spoločnosť KASPERSKY informovala o phishingových kampaniach, ktoré túto zraniteľnosť aktívne zneužívajú na šírenie malvéru QAKBOT.

Možné škody:

  • Vzdialené vykonanie kódu
  • Eskalácia privilégií
  • Neoprávnený prístup k citlivým údajom
  • Falšovanie identity
  • Zneprístupnenie služby
  • Obídenie bezpečnostných prvkov
  • Neoprávnená zmena v systéme

Odporúčania:

Bezodkladné nasadenie májového balíka opráv na zraniteľné produkty spoločnosti Microsoft nájdete tu.

Zdroje:

https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2024-patch-tuesday-fixes-3-zero-days-61-flaws/

https://securelist.com/cve-2024-30051/112618/

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30044

https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-30040

https://exchange.xforce.ibmcloud.com/vulnerabilities/290496

https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-30051

https://exchange.xforce.ibmcloud.com/vulnerabilities/290497