De Patch Tuesday van augustus bevat 90 kwetsbaarheden, waarvan er zeven beoordeeld zijn als kritieke kwetsbaarheden. Daarnaast zit er een opvallend hoog aantal zero-days in de patchronde, in totaal zijn dat er tien. Microsoft classificeert een zero-day kwetsbaarheid als die openbaar is gemaakt of actief wordt misbruikt, terwijl er nog geen officiële oplossing beschikbaar is. Hieronder een korte samenvatting van de meest belangrijke kwetsbaarheden die zijn ontdekt. Voor de volledige lijst met kwetsbaarheden kun je terecht op Microsoft Security Updates.
CVE-2024-38063 | Windows TCP/IP Remote Code Execution Vulnerability
CVE-2024-38063 is een kritieke RCE-kwetsbaarheid die Windows TCP/IP treft. Deze heeft een CVSSv3-score van 9,8 gekregen en is beoordeeld als “Exploitation More Likely.” Een aanvaller zou deze kwetsbaarheid op afstand kunnen misbruiken door speciaal gemaakte IPv6-pakketten naar een host te sturen. Microsoft stelt voor om IPv6 uit te schakelen, omdat alleen IPv6-pakketten kunnen worden misbruikt om deze kwetsbaarheid uit te buiten. Microsoft heeft patches uitgebracht voor alle ondersteunde versies van Windows en Windows Server, inclusief Server Core-installaties.
CVE-2024-38199 | Windows Line Printer Daemon (LPD) Service Remote Code Execution Vulnerability
CVE-2024-38199 is een RCE-kwetsbaarheid in de Windows Line Printer Daemon (LPD) Service. Deze kwetsbaarheid heeft een CVSSv3-score van 9,8 gekregen en is door Microsoft beoordeeld als “Exploitation Less Likely.” Een externe aanvaller zou deze kwetsbaarheid via een netwerk kunnen misbruiken door een speciaal gemaakte printtaak naar de Windows LPD Service te sturen, wat bij succes zou resulteren in RCE op de server. Microsoft heeft ook opgemerkt dat de kwetsbaarheid openbaar is gemaakt voordat er een patch beschikbaar was.
CVE-2024-38189 | Microsoft Project Remote Code Execution Vulnerability
CVE-2024-38189 is een RCE-kwetsbaarheid die Microsoft Project treft. Deze kwetsbaarheid heeft een CVSSv3-score van 8,8 gekregen en wordt in het wild misbruikt. Volgens het advies vereist exploitatie dat een nietsvermoedend slachtoffer een speciaal gemaakte Microsoft Office Project-bestand opent. Bovendien moet het systeem zo zijn geconfigureerd dat het beleid “Blokkeer macro’s van het uitvoeren in Office-bestanden van het internet” is uitgeschakeld en dat de VBA Macro Notification-instellingen zijn uitgeschakeld om een succesvolle aanval mogelijk te maken.
CVE-2024-38141 and CVE-2024-38193 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability
CVE-2024-38141 en CVE-2024-38193 zijn EoP-kwetsbaarheden die de Windows Ancillary Function Driver voor Winsock (afd.sys) beïnvloeden. Beide kwetsbaarheden hebben een CVSSv3-score van 7,8 gekregen en kunnen een aanvaller in staat stellen om privileges te escaleren naar SYSTEM. CVE-2024-38141 is beoordeeld als “Exploitation More Likely” en er is gerapporteerd dat CVE-2024-38193 in het wild is misbruikt als een zero-day-kwetsbaarheid.
CVE-2024-38200 | Microsoft Office Spoofing Vulnerability
CVE-2024-38200 Dit is een spoofing-kwetsbaarheid die Microsoft Office treft, met een CVSSv3-score van 6,5 en door Microsoft beoordeeld als “Exploitation Less Likely”. Een aanvaller zou deze kwetsbaarheid kunnen misbruiken met een speciaal gemaakt bestand waarmee een slachtoffer moet werken. Dit kan worden bereikt door het bestand op een bestandsserver of website te hosten en het slachtoffer te overtuigen om op het bestand te klikken, of het kan op een vergelijkbare manier worden opgenomen in een phishing-e-mail. Een succesvolle exploitatie van de kwetsbaarheid kan ertoe leiden dat het slachtoffer NTLM (New Technology Lan Manager) hashes blootstelt aan een externe aanvaller.
Oplossing:
Microsoft heeft updates uitgebracht om de kwetsbaarheden te verhelpen.