De Microsoft Patch Tuesday van november bevat 92 kwetsbaarheden, waarvan er vier beoordeeld zijn als kritieke kwetsbaarheden en vier zero-day kwetsbaarheden, waarvan er twee actief misbruikt worden. Microsoft classificeert een zero-day kwetsbaarheid als die openbaar is gemaakt of actief wordt misbruikt, terwijl er nog geen officiële oplossing beschikbaar is. Hieronder een korte samenvatting van de meest belangrijke kwetsbaarheden die zijn ontdekt. Voor de volledige lijst met kwetsbaarheden kun je terecht op Microsoft Security Updates.
CVE-2024-43451 | NTLM Hash Disclosure Spoofing Vulnerability
CVE-2024-43451 is een NTLM hash spoofing kwetsbaarheid in Microsoft Windows. Deze kwetsbaarheid kreeg een CVSSv3-score van 6.5. Een aanvaller kan deze kwetsbaarheid misbruiken door een gebruiker te overtuigen om een speciaal geprepareerd bestand te openen. Succesvolle exploitatie zou leiden tot ongeautoriseerde openbaarmaking van de NTLMv2-hash van de gebruiker, die de aanvaller vervolgens kan gebruiken om zich als de gebruiker bij het systeem aan te melden. Volgens Microsoft werd deze kwetsbaarheid in de praktijk misbruikt als een zero-day.
CVE-2024-49039 | Windows Task Scheduler Elevation of Privilege Vulnerability
CVE-2024-49039 is een EoP-kwetsbaarheid in de Microsoft Windows Task Scheduler. Deze kwetsbaarheid kreeg een CVSSv3-score van 8.8. Een aanvaller met lokale toegang tot een kwetsbaar systeem kan deze kwetsbaarheid misbruiken door een speciaal geprepareerde applicatie uit te voeren. Succesvolle exploitatie stelt een aanvaller in staat om toegang te krijgen tot resources die normaal niet beschikbaar zouden zijn en om code uit te voeren, zoals remote procedure call (RPC)-functies.
Volgens Microsoft werd deze kwetsbaarheid in de praktijk misbruikt als een zero-day. De kwetsbaarheid werd aan Microsoft gemeld door een anonieme onderzoeker, samen met Vlad Stolyarov en Bahare Sabouri van het Threat Analysis Group van Google. Op dit moment zijn er geen verdere details over exploitatie in de praktijk beschikbaar.
CVE-2024-49019 | Active Directory Certificate Services Elevation of Privilege Vulnerability
CVE-2024-49019 is een EoP-kwetsbaarheid die van invloed is op Active Directory Certificate Services. Deze kwetsbaarheid kreeg een CVSSv3-score van 7.8. Deze kwetsbaarheid werd openbaar gemaakt voordat er een patch beschikbaar was. Volgens Microsoft zou succesvolle exploitatie een aanvaller in staat stellen om administratieve privileges te verkrijgen. Het advies vermeldt dat “certificaten die zijn aangemaakt met een versie 1-certificaatsjabloon met Source of subject name ingesteld op ‘Supplied in the request’” mogelijk worden beïnvloed als de sjabloon niet volgens best practices is beveiligd. Het advies van Microsoft bevat ook verschillende mitigerende stappen om certificaatsjablonen te beveiligen.
CVE-2024-49040 | Microsoft Exchange Server Spoofing Vulnerability
CVE-2024-49040 is een spoofing-kwetsbaarheid die Microsoft Exchange Server 2016 en 2019 beïnvloedt. Deze kwetsbaarheid kreeg een CVSSv3-score van 7.5. Volgens Microsoft werd deze kwetsbaarheid openbaar gemaakt voordat er een patch beschikbaar was. Na het toepassen van de update dienen beheerders het supportartikel Exchange Server non-RFC compliant P2 FROM header detection te bekijken. De aanvullende handleiding vermeldt dat de Exchange Server-update voor november, als onderdeel van een “secure by default”-benadering, verdachte e-mails zal markeren die mogelijk “kwaadaardige patronen in de P2 FROM header” bevatten. Hoewel deze functie kan worden uitgeschakeld, raadt Microsoft sterk aan om deze ingeschakeld te laten voor extra bescherming tegen phishing pogingen en kwaadaardige e-mails.
CVE-2024-43639 | Windows Kerberos Remote Code Execution Vulnerability
CVE-2024-43639 is een kritieke RCE-kwetsbaarheid die Windows Kerberos beïnvloedt, een authenticatieprotocol dat is ontworpen om de identiteit van gebruikers of hosts te verifiëren. Deze kwetsbaarheid kreeg een CVSSv3-score van 9.8 en wordt beoordeeld als “Exploitation Less Likely.” Om deze kwetsbaarheid te misbruiken, moet een niet-geauthentiseerde aanvaller gebruikmaken van een kwetsbaarheid in het cryptografische protocol om RCE te bereiken. Microsoft heeft op dit moment geen verdere details verstrekt over deze kwetsbaarheid.
CVE-2024-43602 | Azure CycleCloud Remote Code Execution Vulnerability
CVE-2024-43602 is een RCE-kwetsbaarheid in Microsoft’s Azure CycleCloud, een tool voor het beheren en orkestreren van High Performance Computing (HPC)-omgevingen in Azure. Deze kwetsbaarheid kreeg de hoogste CVSSv3-score van de maand, namelijk 9.9, en wordt beoordeeld als belangrijk. Een gebruiker met basisrechten kan CVE-2024-43602 misbruiken door speciaal geprepareerde verzoeken te sturen naar een kwetsbare Azure CycleCloud-cluster om de configuratie te wijzigen. Succesvolle exploitatie zou ertoe leiden dat de gebruiker root-rechten verkrijgt, waarmee ze commando’s kunnen uitvoeren op elke cluster in de Azure CycleCloud en beheerdersreferenties kunnen stelen.
Oplossing
Microsoft heeft updates uitgebracht om de genoemde kwetsbaarheden te verhelpen. Het is belangrijk dat organisaties deze updates tijdig toepassen om de risico’s van deze kwetsbaarheden te verkleinen. Voor organisaties die niet direct in staat zijn om de patches te installeren, biedt Microsoft tijdelijke oplossingen en mitigaties, zoals beschreven bij de specifieke kwetsbaarheden.