Microsoft je objavio sigurnosna ažuriranja kako bi pokrenuo ukupno 118 ranjivosti u svom softverskom portfelju, od kojih su dvije bile pod aktivnom eksploatacijom u divljini.
Od 118 nedostataka, tri su ocenjene kao kritične, 113 ocenjene kao važne, a dve su ocenjene kao umjerene po ozbiljnosti. Patch Tuesday ažuriranje ne uključuje 25 dodatnih nedostataka koje je tehnološki div riješio u svom Chromium-baziranom Edge pretraživaču tokom prošlog mjeseca.
Pet ranjivosti su navedene kao javno poznate u vrijeme objavljivanja, a dvije od njih su pod aktivnom eksploatacijom kao nula –
- CVE-2024-43572 (CVSS rezultat: 7,8) – Ranjivost daljinskog izvršavanja koda na Microsoft upravljačkoj konzoli (otkrivena eksploatacija)
- CVE-2024-43573 (CVSS rezultat: 6,5) – Ranjivost na lažiranje Windows MSHTML platforme (otkrivena eksploatacija)
- CVE-2024-43583 (CVSS rezultat: 7,8) – Winlogon ranjivost uz povećanje privilegija
- CVE-2024-20659 (CVSS rezultat: 7,1) – Ranjivost zaobilaženja sigurnosnih funkcija Windows Hyper-V
- CVE-2024-6197 (CVSS rezultat: 8,8) – Ranjivost u izvršavanju udaljenog koda otvorenog koda ( ne-Microsoft CVE )
Vrijedi napomenuti da je CVE-2024-43573 sličan CVE-2024-38112 i CVE-2024-43461 , dvije druge greške u lažiranju MSHTML-a koje je prije jula 2024. iskoristio hakeri Void Banshee za isporuku malicioznog softvera Atlantida Stealer.
Microsoft ne pominje kako se te dvije ranjivosti iskorištavaju u divljini, i ko, ili koliko su rasprostranjene. Istraživači Andres i Shady su zaslužni za prijavu CVE-2024-43572, ali nije data potvrda za CVE-2024-43573, što povećava mogućnost da bi to mogao biti slučaj zaobilaženja zakrpe.
„Od otkrića CVE-2024-43572, Microsoft sada sprečava otvaranje nepouzdanih MSC datoteka na sistemu“, rekao je Satnam Narang, viši inženjer za istraživanje osoblja u Tenableu, u izjavi podijeljenoj za The Hacker News.
Aktivnu eksploataciju CVE-2024-43572 i CVE-2024-43573 također je primijetila Američka agencija za cyber sigurnost i sigurnost infrastrukture (CISA), koja ih je dodala u svoj katalog poznatih eksploatiranih ranjivosti ( KEV ), zahtijevajući od federalnih agencija da primjene popravke do 29. oktobra 2024.
Među svim nedostacima koje je Redmond otkrio u utorak, najteža se tiče greške u daljinskom izvršavanju u Microsoft Configuration Manager-u ( CVE-2024-43468 , CVSS rezultat: 9,8) koja bi mogla dozvoliti neautorizovanim hakerima da pokreću proizvoljne komande.
“Napadač bez autentifikacije mogao bi iskoristiti ovu ranjivost slanjem posebno kreiranih zahtjeva ciljnom okruženju koji se obrađuju na nesiguran način omogućavajući napadaču da izvrši komande na serveru i/ili bazi podataka”, navodi se.
Dvije druge kritične propuste ozbiljnosti takođe se odnose na daljinsko izvršavanje koda u proširenju Visual Studio Code za Arduino ( CVE-2024-43488 , CVSS rezultat: 8.8) i server Remote Desktop Protocol (RDP) ( CVE-2024-43582 , CVSS rezultat: 8.1).
“Eksploatacija zahtijeva od napadača da pošalje namjerno deformisane pakete Windows RPC hostu, i vodi do izvršenja koda u kontekstu RPC usluge, iako ono što to znači u praksi može ovisiti o faktorima uključujući konfiguraciju ograničenja RPC interfejsa na ciljnom resursu, ” Adam Barnett, vodeći softverski inženjer u Rapid7, ispričao je o CVE-2024-43582.
“Jedna srebrna linija: složenost napada je visoka, budući da napadač mora pobijediti u utrci da bi neprikladno pristupio memoriji.”
Softverske zakrpe drugih proizvođača
Izvan Microsofta, drugi proizvođači su takođe objavili sigurnosna ažuriranja u proteklih nekoliko sedmica kako bi se ispravilo nekoliko ranjivosti, uključujući —
- Adobe
- Amazon Web Services
- Apache Avro
- Apple
- AutomationDirect
- Bosch
- Broadcom (uključujući VMware)
- Cisco (uključujući Splunk )
- Citrix
- CODESYS
- Dell
- Draytek
- Drupal
- F5
- Fortinet
- GitLab
- Google Android
- Google Chrome
- Google Cloud
- Hitachi Energy
- HP
- HP Enterprise (uključujući Aruba Networks)
- IBM
- Intel
- Ivanti
- Jenkins
- Juniper Networks
- Lenovo
- Linux distribucije Amazon Linux , Debian , Oracle Linux , Red Hat , Rocky Linux , SUSE i Ubuntu
- MediaTek
- Mitsubishi Electric
- MongoDB
- Mozilla Firefox, Firefox ESR i Thunderbird
- NVIDIA
- Okta
- Palo Alto Networks
- Progress Software
- QNAP
- Qualcomm
- Rockwell Automation
- Salesforce Tableau
- Samsung
- SAP
- Schneider Electric
- Siemens
- Sophos
- Synology
- Trend Micro
- Veritas
- Zumiranje i
- Zyxel
Izvor:The Hacker News