De Patch Tuesday van september bevat 79 kwetsbaarheden waarvan er zeven beoordeeld zijn als kritieke kwetsbaarheden en vier zero-day kwetsbaarheden, waaronder drie actief zijn misbruikt. Microsoft classificeert een zero-day kwetsbaarheid als die openbaar is gemaakt of actief wordt misbruikt, terwijl er nog geen officiële oplossing beschikbaar is. Hieronder een korte samenvatting van de meest belangrijke kwetsbaarheden die zijn ontdekt. Voor de volledige lijst met kwetsbaarheden kun je terecht op Microsoft Security Updates.
CVE-2024-43491 | Microsoft Windows Update Remote Code Execution Vulnerability
CVE-2024-43491 is een Remote Code Execution kwetsbaarheid in Microsoft Windows Update, die van invloed is op optionele componenten in Windows 10, versie 1507 (Windows 10 Enterprise 2015 LTSB en Windows 10 IoT Enterprise 2015 LTSB). Deze kwetsbaarheid kreeg een CVSSv3-score van 9.8, wat neerkomt op een maximale ernst van kritiek en werd door Microsoft gemarkeerd als exploited in-the-wild (actief misbruikt).
Microsoft merkt op dat alleen optionele componenten die zijn ingeschakeld uit de volgende lijst, worden getroffen:
- .NET Framework 4.6 Advanced Services \ ASP.NET 4.6
- Active Directory Lightweight Directory Services
- Administrative Tools
- Internet Explorer 11
- Internet Information Services \ World Wide Web Services
- LPD Print Service
- Microsoft Message Queue (MSMQ) Server Core
- MSMQ HTTP Support
- MultiPoint Connector
- SMB 1.0/CIFS-bestandsdeling ondersteuning
- Windows Fax and Scan
- Windows Media Player
- Work Folders Client
- XPS Viewer
Een succesvolle exploitatie zou resulteren in het terugdraaien van eerder gemitigeerde kwetsbaarheden in de getroffen optionele componenten in de gespecificeerde versies van Windows 10.
CVE-2024-38018 | Microsoft SharePoint Server Remote Code Execution Vulnerability
CVE-2024-38018 is een kritieke Remote Code Execution kwetsbaarheid die van invloed is op Microsoft SharePoint Server, met een CVSSv3-score van 8.8 en een beoordeling van de exploitability index als “Exploitation More Likely”. Hoewel Microsoft geen specifieke informatie heeft verstrekt over de exploitatie, zou een dreigingsactor over het algemeen geauthentiseerd moeten zijn en voldoende rechten moeten hebben voor het aanmaken van pagina’s om misbruik te maken van deze RCE in Microsoft SharePoint Server.
CVE-2024-38217 | Windows Mark of the Web Security Feature Bypass Vulnerability
CVE-2024-38217 is een kwetsbaarheid in het omzeilen van een beveiligingsfunctie die invloed heeft op Mark of the Web (MOTW), een identificatiemethode die door Windows wordt gebruikt om bestanden te markeren die van het internet zijn gedownload. Met een CVSSv3-score van 5.4 merkt Microsoft op dat deze kwetsbaarheid in het wild is geëxploiteerd en openbaar werd gemaakt voordat de patch beschikbaar was. Een succesvolle exploitatie van deze kwetsbaarheid vereist dat een aanvaller een gebruiker overtuigt om een speciaal geprepareerd bestand te openen dat de MOTW-beveiliging kan omzeilen.
CVE-2024-38014 | Windows Installer Elevation of Privilege Vulnerability
CVE-2024-38014 is een Elevation of Privilege kwetsbaarheid die invloed heeft op Windows Installer en werd waargenomen als zijnde geëxploiteerd als een zero-day. Hoewel Microsoft geen details heeft gedeeld over de exploitatie, vermeldt het advies dat succesvolle exploitatie de aanvaller SYSTEM-rechten zou geven. Net als bij andere EoP-kwetsbaarheden worden deze vaak gebruikt als onderdeel van post-compromise activiteiten om een netwerk verder te compromitteren door gebruik te maken van verhoogde accountrechten.
CVE-2024-38226 | Microsoft Publisher Security Features Bypass Vulnerability
CVE-2024-38226 is een kwetsbaarheid in het omzeilen van een beveiligingsfunctie die van invloed is op Microsoft Publisher. Deze kwetsbaarheid kreeg een CVSSv3-score van 7.3 en is in het wild geëxploiteerd als een zero-day. Om deze kwetsbaarheid te misbruiken, moet een aanvaller geauthentiseerd zijn op het doelsysteem en de gebruiker overtuigen om een speciaal geprepareerd bestand te downloaden. Dit zou een lokale aanvaller in staat stellen om Office macrobeleid te omzeilen dat is ontworpen om onbetrouwbare en mogelijk schadelijke bestanden op het systeem van het doelwit te blokkeren. Volgens het advies is het Voorbeeldvenster geen aanvalsvector voor deze kwetsbaarheid.
Oplossing
Microsoft heeft updates uitgebracht om de kwetsbaarheden te verhelpen.