Microsoft September 2024 Patch Tuesday met 79 CVEs (CVE-2024-43491)
16 september 2024
bron: Tenable
Microsoft pakt 79 CVE’s aan met zeven kritieke kwetsbaarheden en vier ‘zero-day’-kwetsbaarheden, waaronder drie die in het wild worden misbruikt.
Microsoft heeft 79 CVE’s gepatcht in zijn Patch Tuesday-release van september 2024, waarvan zeven als kritiek, 71 als belangrijk en één als matig.
De update van deze maand bevat patches voor:
- Azure CycleCloud
- Azure Network Watcher
- Azure Stack
- Azure Web Apps
- Dynamics Business Central
- Microsoft AutoUpdate (MAU)
- Microsoft Dynamics 365 (on-premises)
- Microsoft Graphics Component
- Microsoft Management Console
- Microsoft Office Excel
- Microsoft Office Publisher
- Microsoft Office SharePoint
- Microsoft Office Visio
- Microsoft Outlook for iOS
- Microsoft Streaming Service
- Power Automate
- Role: Windows Hyper-V
- SQL Server
- Windows Admin Center
- Windows AllJoyn API
- Windows Authentication Methods
- Windows DHCP Server
- Windows Installer
- Windows Kerberos
- Windows Kernel-Mode Drivers
- Windows Libarchive
- Windows MSHTML Platform
- Windows Mark of the Web (MOTW)
- Windows Network Address Translation (NAT)
- Windows Network Virtualization
- Windows PowerShell
- Windows Remote Access Connection Manager
- Windows Remote Desktop Licensing Service
- Windows Security Zone Mapping
- Windows Setup and Deployment
- Windows Standards-Based Storage Management Service
- Windows Storage
- Windows TCP/IP
- Windows Update
- Windows Win32K – GRFX
- Windows Win32K – ICOMP
Elevation of privilege (EoP) kwetsbaarheden waren goed voor 38% van de kwetsbaarheden die deze maand werden gepatcht, gevolgd door remote code execution (RCE) kwetsbaarheden met 29,1%.
Critical: CVE-2024-43491 | Microsoft Windows Update Remote Code Execution Vulnerability
CVE-2024-43491 is een RCE-kwetsbaarheid in Microsoft Windows Update die van invloed is op optionele onderdelen binnen Windows 10, versie 1507 (Windows 10 Enterprise 2015 LTSB en Windows 10 IoT Enterprise 2015 LTSB). Deze kwetsbaarheid kreeg een CVSSv3-score van 9,8, een maximale ernst van kritiek en werd door Microsoft gemarkeerd als “exploited in-the-wild”.
Deze kwetsbaarheid komt voort uit de manier waarop de Servicing-stack omging met de toepasbaarheid van Optionele componenten als gevolg van een geactiveerd codefout. Dit begon met een beveiligingsupdate die werd uitgebracht op 12 maart 2024 – KB5035858 (OS Build 10240.20526). De getroffen optionele onderdelen werden gemarkeerd als “niet van toepassing” en teruggezet naar hun Release To Manufacturing (RTM) versie. Microsoft merkt op dat alleen optionele onderdelen uit de volgende lijst zijn getroffen:
- .NET Framework 4.6 Advanced Services \ ASP.NET 4.6
- Active Directory Lightweight Directory Services
- Administrative Tools
- Internet Explorer 11
- Internet Information Services\World Wide Web Services
- LPD Print Service
- Microsoft Message Queue (MSMQ) Server Core
- MSMQ HTTP Support
- MultiPoint Connector
- SMB 1.0/CIFS File Sharing Support
- Windows Fax and Scan
- Windows Media Player
- Work Folders Client
- XPS Viewer
Succesvolle uitbuiting zou resulteren in het terugdraaien van eerder gemitigeerde kwetsbaarheden in de getroffen optionele onderdelen in Windows 10-versies zoals hierboven gespecificeerd.
Hoewel deze CVE is bestempeld als “in-the-wild” uitgebuit, verklaart Microsoft verwarrend genoeg dat er geen bewijs is van rechtstreekse uitbuiting van CVE-2024-43491, maar eerder via waargenomen terugdraaiingen van CVE’s met betrekking tot optionele onderdelen voor Windows 10 (versie 1507). Omdat sommige van deze teruggedraaide CVE’s zijn waargenomen als uitgebuit, heeft dit Microsoft ertoe aangezet om de exploiteerbaarheidsindex voor deze kwetsbaarheid te beoordelen als “Uitbuiting gedetecteerd”.
Critical: CVE-2024-38018 | Microsoft SharePoint Server Remote Code Execution Vulnerability
CVE-2024-38018 is een kritieke RCE die Microsoft SharePoint Server treft met een CVSSv3-score van 8,8 en een exploiteerbaarheidsindexbeoordeling van “Exploitation More Likely”. Hoewel Microsoft geen informatie heeft verstrekt over de exploiteerbaarheid, moet een dreigingsactor over het algemeen geverifieerd zijn en voldoende machtigingen hebben voor het maken van pagina’s om te kunnen profiteren van deze RCE in Microsoft SharePoint Server.
Access42 Oplossingen
Een lijst van alle plugins die door Tenable zijn uitgebracht voor Microsofts Patch Tuesday-update van september 2024 vind je hier. Zoals altijd raden we aan om systemen zo snel mogelijk te patchen en regelmatig je omgeving te scannen om de systemen te identificeren die nog gepatcht moeten worden. Onze Managed Security klanten worden automatisch op de hoogte gebracht.