Astăzi este Marțiul de Patch-uri al lunii august 2024 pentru Microsoft, care include actualizări de securitate pentru 89 de probleme, inclusiv șase zero-days exploatate activ și trei zero-days public dezvăluite. Microsoft lucrează încă la o actualizare pentru un al zecelea zero-day public dezvăluit.
Acest Patch Tuesday a rezolvat opt vulnerabilități critice, care erau o combinație de escaladare a privilegiilor, execuție de cod la distanță și divulgare de informații.
Numărul de bug-uri din fiecare categorie de vulnerabilitate este listat mai jos:
Numărul de bug-uri enumerate mai sus nu include problemele Microsoft Edge care au fost dezvăluite la începutul acestei luni.
Pentru a afla mai multe despre actualizările non-securizate lansate astăzi, puteți consulta articolele noastre dedicate despre actualizarea KB5041585 pentru Windows 11 și actualizarea KB5041580 pentru Windows 10.
Marțiul de Patch al acestei luni rezolvă șase zero-days exploatate activ și alte trei zero-days public dezvăluite. Un alt zero-day public rămâne neeliminat în acest moment, dar Microsoft lucrează la o actualizare.
Microsoft clasifică o vulnerabilitate zero-day ca fiind una public dezvăluită sau exploatată activ în timp ce nu există o soluție oficială disponibilă.
Cele șase vulnerabilități zero-day exploatate activ în actualizările de astăzi sunt:
CVE-2024-38178 – Vulnerabilitate de corupție a memoriei motorului de scripting
Microsoft spune că atacul necesită ca un client autentificat să facă clic pe un link pentru ca un atacator neautentificat să inițieze execuția de cod la distanță.
Link-ul trebuie să fie accesat în Microsoft Edge în modul Internet Explorer, făcând ca această vulnerabilitate să fie dificilă de exploatat.
Însă, chiar și cu aceste pre-rechizite, Centrul Național de Securitate Cibernetică din Coreea de Sud (NCSC) și AhnLab au dezvăluit că vulnerabilitatea a fost exploatată în atacuri.
CVE-2024-38193 – Vulnerabilitate de escaladare a privilegiilor pentru șoferul funcției auxiliare Windows pentru WinSock
Această vulnerabilitate permite atacatorilor să obțină privilegii de sistem pe sistemele Windows.
Vulnerabilitatea a fost descoperită de Luigino Camastra și Milánek cu Gen Digital, dar Microsoft nu a împărtășit detalii despre modul în care a fost dezvăluită.
CVE-2024-38213 – Vulnerabilitate de bypassare a funcției de securitate Mark of the Web din Windows
Această vulnerabilitate permite atacatorilor să creeze fișiere care ocolesc alertele de securitate Mark of the Web din Windows.
Această funcție de securitate a fost supusă la numeroase bypass-uri de-a lungul anilor, fiind un obiectiv atractiv pentru actorii de amenințare care desfășoară campanii de pescuit de date.
Microsoft spune că vulnerabilitatea a fost descoperită de Peter Girnus de la Trend Micro’s Zero Day Initiative, dar nu a dezvăluit modul în care este exploatată în atacuri.
CVE-2024-38106 – Vulnerabilitate de escaladare a privilegiilor pentru nucleul Windows
Microsoft a rezolvat o vulnerabilitate de escaladare a privilegiilor pentru nucleul Windows care acordă privilegii de sistem.
„Exploatarea cu succes a acestei vulnerabilități necesită ca un atacator să câștige o condiție de cursă,” explică avertizarea Microsoft.
„Un atacator care exploatează cu succes această vulnerabilitate ar putea obține privilegii de sistem,” a continuat Microsoft.
Microsoft nu a împărtășit cine a dezvăluit vulnerabilitatea și cum a fost exploatată.
CVE-2024-38107 – Vulnerabilitate de escaladare a privilegiilor pentru coordonatorul de dependență de putere Windows
Microsoft a rezolvat o vulnerabilitate care acordă atacatorilor privilegii de sistem pe dispozitivul Windows.
Microsoft nu a împărtășit cine a dezvăluit vulnerabilitatea și cum a fost exploatată.
CVE-2024-38189 – Vulnerabilitate de execuție de cod la distanță pentru Microsoft Project
Microsoft a rezolvat o vulnerabilitate de execuție de cod la distanță pentru Microsoft Project care necesită dezactivarea funcțiilor de securitate pentru exploatare.
„Exploatarea necesită ca victima să deschidă un fișier malicios Microsoft Office Project pe un sistem în care politica „Blocare macro-uri din rularea fișierelor Office din Internet” este dezactivată și setările de notificare a macro-urilor VBA nu sunt activate, permițând atacatorului să efectueze execuția de cod la distanță,” explică avertizarea.
Microsoft spune că atacatorii ar trebui să păcălească un utilizator să deschidă fișierul malicios, de exemplu, printr-un atac de pescuit de date sau prin ademenirea utilizatorilor către site-uri care găzduiesc fișierul.
Microsoft nu a dezvăluit cine a descoperit vulnerabilitatea sau cum a fost exploatată în atacuri.
Cele patru vulnerabilități public dezvăluite sunt:
CVE-2024-38199 – Vulnerabilitate de execuție de cod la distanță pentru serviciul Windows Line Printer Daemon (LPD)
Microsoft a rezolvat o vulnerabilitate de execuție de cod la distanță în serviciul Windows Line Printer Daemon.
„Un atacator neautentificat ar putea trimite o sarcină de imprimare special formulată către un serviciu vulnerabil Windows Line Printer Daemon (LPD) partajat printr-o rețea. Exploatarea cu succes ar putea rezulta în execuția de cod la distanță pe server,” explică avertizarea Microsoft.
Această vulnerabilitate este listată ca public dezvăluită, dar persoana care a dezvăluit-o a dorit să rămână anonimă.
CVE-2024-21302 – Vulnerabilitate de escaladare a privilegiilor în modul sigur al kernelului Windows
Această vulnerabilitate a fost dezvăluită de cercetătorul de securitate Alon Leviev de la SafeBreach în cadrul unei prezentări despre atacul de downgrade Windows Downdate la Black Hat 2024.
Atacul Windows Downdate anulează complet actualizările Windows 10, Windows 11 și Windows Server pentru a reintroduce vechile vulnerabilități folosind actualizări special concepute.
Această vulnerabilitate a permis atacatorilor să obțină privilegii ridicate pentru a instala actualizările malitioase.
CVE-2024-38200 – Vulnerabilitate de spoofing Microsoft Office
Microsoft a remediat o vulnerabilitate Microsoft Office care expune hash-urile NTLM așa cum a fost dezvăluit în prezentarea „NTLM – Ultima plimbare” de la Defcon.
Atacatorii ar putea exploata vulnerabilitatea păcălind pe cineva să deschidă un fișier malitios, care ar forța aplicația Office să facă o conexiune externă la un share remote unde atacatorii ar putea fura hash-urile NTLM trimise.
Vulnerabilitatea a fost descoperită de Jim Rush cu PrivSec și a fost deja remediată prin Microsoft Office Feature Flighting pe 30 iulie 2024.
CVE-2024-38202 – Vulnerabilitate de escaladare a privilegiilor pentru stiva de actualizare Windows
Această vulnerabilitate a fost de asemenea parte a prezentării despre atacul de downgrade Windows Downdate la Black Hat 2024.
Microsoft dezvoltă o actualizare de securitate pentru a atenua această amenințare, dar nu este încă disponibilă.
Alți furnizori care au lansat actualizări sau avertismente în august 2024 includ:
Mai jos este lista completă a vulnerabilităților rezolvate în actualizările de Patch Tuesday din august 2024.
Pentru a accesa descrierea completă a fiecărei vulnerabilități și a sistemelor afectate, puteți vizualiza raportul complet aici.
Microsoft Patch Tuesday iulie 2024 rezolvă 142 de probleme, 4 zero-days
Actualizarea Windows 10 KB5040427 lansată cu modificări pentru Copilot, împreună cu alte 12 remedieri
Actualizarea cumulativă Windows 11 KB5041585 lansată cu remedieri și funcționalități noi
Actualizarea Windows 10 KB5041580 lansată cu 14 remedieri, actualizări de securitate
Zero-day-ul MSHTML folosit în atacuri malware timp de peste un an
Leave a Reply