Astăzi este Marți, 9 noiembrie 2024, ziua în care Microsoft lansează actualizările sale de securitate pentru luna noiembrie, care includ remedieri pentru 91 de vulnerabilități, dintre care patru sunt zero-day-uri, două dintre acestea fiind exploatate activ.
Această actualizare fixează patru vulnerabilități critice, inclusiv două vulnerabilități de execuție de cod la distanță și două vulnerabilități de privilegii de escaladare.
Numărul de bug-uri din fiecare categorie de vulnerabilitate este listat mai jos:
Această listă nu include două vulnerabilități din Edge care au fost deja remediate pe 7 noiembrie.
Pentru a afla mai multe despre actualizările non-securizate lansate astăzi, puteți citi articolele noastre dedicate despre noile actualizări cumulative Windows 11 KB5046617 și KB5046633 și despre actualizarea Windows 10 KB5046613.
Marți, 9 noiembrie 2024, aduce remedierea a patru zero-day-uri, dintre care două au fost exploatate activ în atacuri, iar trei au fost dezvăluite public.
Microsoft clasifică o vulnerabilitate zero-day ca fiind una care este dezvăluită public sau exploatată activ în timp ce nu există o soluție oficială.
Cele două vulnerabilități zero-day exploatate activ în actualizările de astăzi sunt:
CVE-2024-43451 – Vulnerabilitatea de divulgare a hash-ului NTLM
Microsoft a remediat o vulnerabilitate care expune hash-urile NTLM la atacatori remote cu interacțiune minimă printr-un fișier malițios.
„Această vulnerabilitate dezvăluie hash-ul NTLMv2 al utilizatorului atacatorului care ar putea folosi acesta pentru a se autentifica ca utilizatorul,” a explicat Microsoft.
„Interacțiunea minimă a unui utilizator cu un fișier malițios, cum ar fi selectarea (click simplu), inspectarea (click-dreapta) sau efectuarea unei acțiuni în afară de deschidere sau executare, ar putea declanșa această vulnerabilitate,” a continuat Microsoft.
Microsoft spune că Israel Yeshurun de la ClearSky Cyber Security a descoperit această vulnerabilitate și că a fost dezvăluită public, dar nu a oferit alte detalii.
CVE-2024-49039 – Vulnerabilitatea de escaladare a privilegiilor Windows Task Scheduler
O aplicație creată special ar putea fi executată pentru a crește privilegiile la nivelul de integritate mediu.
„În acest caz, un atac reușit ar putea fi efectuat dintr-un AppContainer cu privilegii reduse. Atacatorul ar putea să-și crească privilegiile și să execute cod sau să acceseze resurse la un nivel de integritate mai înalt decât cel al mediului de execuție AppContainer,” a explicat Microsoft.
Microsoft spune că exploatarea acestei vulnerabilități ar permite atacatorilor să execute funcții RPC care sunt în mod normal restricționate la conturi privilegiate.
Vulnerabilitatea a fost descoperită de Vlad Stolyarov și Bahare Sabouri de la Google’s Threat Analysis Group.
Nu se știe cum a fost exploatată vulnerabilitatea în atacuri.
Celelalte trei vulnerabilități care au fost dezvăluite public, dar nu au fost exploatate în atacuri, sunt:
CVE-2024-49040 – Vulnerabilitatea de spoofing a serverului Microsoft Exchange
Microsoft a remediat o vulnerabilitate a Microsoft Exchange care permite actorilor de amenințare să facă spoofing al adresei de email a expeditorului în emailuri către destinatarii locali.
„Microsoft este conștient de o vulnerabilitate (CVE-2024-49040) care permite atacatorilor să efectueze atacuri de tip spoofing împotriva serverului Microsoft Exchange,” explică un aviz asociat de la Microsoft.
„Vulnerabilitatea este cauzată de implementarea curentă a verificării antetului P2 FROM, care se întâmplă în transport.”
Începând cu actualizările de securitate Microsoft Exchange din acest lună, Microsoft detectează și marchează emailurile spoofed cu un avertisment adăugat la corpul emailului care specifică: „Notificare: Acest email pare a fi suspect. Nu aveți încredere în informații, linkuri sau atașamentele din acest email fără a verifica sursa printr-o metodă de încredere.”
Microsoft spune că vulnerabilitatea a fost descoperită de Slonser la Solidlab, care a dezvăluit public vulnerabilitatea în acest articol.
CVE-2024-49019 – Vulnerabilitatea de escaladare a privilegiilor Active Directory Certificate Services
Microsoft a remediat o vulnerabilitate care permite atacatorilor să obțină privilegii de administrator de domeniu prin abuzul șabloanelor implicite de certificate de versiune 1.
„Verificați dacă ați publicat certificate create folosind un șablon de certificat de versiune 1 unde Sursa numelui subiect este setată la „Furnizat în cerere” și permisiunile de înscriere sunt acordate unui set mai larg de conturi, cum ar fi utilizatorii de domeniu sau computerele de domeniu,” explică Microsoft.
„Un exemplu este șablonul built-in Web Server, dar nu este vulnerabil implicit datorită permisiunilor sale de înscriere restrânse.”
Flaw a fost descoperit de Lou Scicchitano, Scot Berner și Justin Bollinger cu TrustedSec, care au dezvăluit vulnerabilitatea „EKUwu” în octombrie.
„Folosind șabloanele implicite de certificate de versiune 1, un atacator poate crea o CSR pentru a include politici de aplicație care sunt preferate față de atributele de utilizare a cheii extinse configurate specificate în șablon,” se arată în raportul TrustedSec.
„Singura cerință este drepturile de înscriere și poate fi folosit pentru a genera certificate de autentificare a clienților, cereri de certificate agent și certificate de semnătură de cod folosind șablonul WebServer.”
Așa cum s-a explicat mai sus, și CVE-2024-43451 a fost dezvăluit public.
Alți furnizori care au lansat actualizări sau avertismente în noiembrie 2024 includ:
Mai jos este lista completă a vulnerabilităților rezolvate în actualizările Patch Tuesday pentru noiembrie 2024.
Pentru a accesa descrierea completă a fiecărei vulnerabilități și sistemele afectate de aceasta, puteți vizualiza raportul complet aici.
Actualizare 9/11/24: Actualizat pentru a explica faptul că doar trei vulnerabilități au fost exploatate activ și de ce CVE-2024-43491 a fost marcată ca exploatată.
Microsoft October 2024 Patch Tuesday fixes 5 zero-days, 118 flaws
Actualizare Windows 10 KB5044273 lansată cu 9 remedieri, actualizări de securitate
Actualizare Windows 10 KB5043131 lansată cu 9 modificări și remedieri
Vulnerabilitatea Windows abuzată prin atacuri zero-day folosind „spații” braille
Actualizări cumulative Windows 11 KB5046617 și KB5046633 lansate
Leave a Reply