Microsoft Patch Tuesday van november 2024 verhelpt 4 zero-day-kwetsbaarheden en 89 andere gebreken.
Vandaag is het Microsoft’s november 2024 Patch Tuesday, dat beveiligingsupdates bevat voor 89 kwetsbaarheden, waaronder vier zero-days, waarvan er twee actief worden uitgebuit.
Deze Patch Tuesday heeft vier kritieke kwetsbaarheden verholpen, waaronder twee voor remote code execution en twee voor elevatie van privileges.
Het aantal bugs in elke kwetsbaarheidscategorie wordt hieronder vermeld:
- 26 Elevatie van Privileges kwetsbaarheden
- 2 Omzeilingen van Beveiligingsfuncties kwetsbaarheden
- 52 Remote Code Execution kwetsbaarheden
- 1 Informatie openbaarmaking kwetsbaarheid
- 4 Dienstweigering kwetsbaarheden
- 3 Spoofing kwetsbaarheden
Dit aantal is exclusief twee Edge-kwetsbaarheden die al op 7 november zijn opgelost.
Om meer te weten te komen over de niet-beveiligingsupdates die vandaag zijn uitgebracht, kunt u onze toegewijde artikelen over de nieuwe Windows 11 KB5046617 en KB5046633 cumulatieve updates en de Windows 10 KB5046613 update bekijken.
Vier zero-days onthuld
Patch Tuesday van deze maand verhelpt vier zero-days, waarvan er twee actief werden uitgebuit in aanvallen, en drie werden openbaar gemaakt.
Microsoft classificeert een zero-day kwetsbaarheid als een die openbaar wordt gemaakt of actief wordt uitgebuit terwijl er nog geen officiële oplossing beschikbaar is.
De twee actief uitgebuite zero-day kwetsbaarheden in de updates van vandaag zijn:
CVE-2024-43451 – NTLM Hash Openbaarmaking Spoofing Kwetsbaarheid
Microsoft heeft een kwetsbaarheid gerepareerd die NTLM-hashes blootstelt aan externe aanvallers met minimale interactie met een kwaadaardig bestand.
“Deze kwetsbaarheid onthult de NTLMv2-hash van een gebruiker aan de aanvaller, die deze hash kan gebruiken om zich als de gebruiker te authentiseren,” legde Microsoft uit.
“Minimale interactie met een kwaadaardig bestand door een gebruiker zoals selecteren (enkele klik), inspecteren (rechtermuisklik) of een andere actie uitvoeren dan openen of uitvoeren kan deze kwetsbaarheid activeren,” vervolgde Microsoft.
Microsoft zegt dat Israel Yeshurun van ClearSky Cyber Security deze kwetsbaarheid heeft ontdekt en dat deze openbaar werd gemaakt, maar gaf verder geen details.
CVE-2024-49039 – Windows Task Scheduler Elevatie van Privilege Kwetsbaarheid
Een speciaal vervaardigde applicatie kan worden uitgevoerd die het privilege verhoogt naar het Medium Integrity-niveau.
“In dit geval kan een succesvolle aanval worden uitgevoerd vanuit een AppContainer met lage privileges. De aanvaller kan zijn privileges verhogen en code uitvoeren of toegang tot middelen krijgen op een hoger integriteitsniveau dan dat van de AppContainer-uitvoeringsomgeving,” legde Microsoft uit.
Microsoft zegt dat uitbuiting van deze kwetsbaarheid aanvallers in staat zou stellen RPC-functies uit te voeren die normaal zijn voorbehouden aan bevoegde accounts.
Het defect werd ontdekt door Vlad Stolyarov en Bahare Sabouri van Google’s Threat Analysis Group.
Het is niet bekend hoe de kwetsbaarheid is uitgebuit in aanvallen.
De andere drie kwetsbaarheden die openbaar werden gemaakt maar niet in aanvallen werden uitgebuit zijn:
CVE-2024-49040 – Microsoft Exchange Server Spoofing Kwetsbaarheid
Microsoft heeft een Microsoft Exchange-kwetsbaarheid gerepareerd die het mogelijk maakt voor dreigingsactoren om het e-mailadres van de afzender te vervalsen in e-mails naar lokale ontvangers.
“Microsoft is op de hoogte van een kwetsbaarheid (CVE-2024-49040) die aanvallers toestaat spoofing-aanvallen uit te voeren tegen Microsoft Exchange Server,” legt een verwante waarschuwing van Microsoft uit.
“De kwetsbaarheid wordt veroorzaakt door de huidige implementatie van de P2 FROM headerverificatie, die plaatsvindt tijdens transport.”
Vanaf de Microsoft Exchange-beveiligingsupdates van deze maand detecteert Microsoft nu en markeert het gespoofte e-mails met een waarschuwingsbericht aan het begin van de e-mail die stelt: “Opmerking: deze e-mail lijkt verdacht. Vertrouw niet op de informatie, links of bijlagen in deze e-mail zonder de bron te verifiëren via een vertrouwde methode.”
Microsoft zegt dat de kwetsbaarheid is ontdekt door Slonser bij Solidlab, die de kwetsbaarheid openbaar heeft gemaakt in dit artikel.
CVE-2024-49019 – Active Directory Certificate Services Elevatie van Privilege Kwetsbaarheid
Microsoft heeft een kwetsbaarheid verholpen die aanvallers in staat stelt domeinbeheerder bevoegdheden te verkrijgen door misbruik te maken van ingebouwde standaard versie 1-certificaatsjablonen.
“Controleer of u certificaten hebt gepubliceerd die zijn gemaakt met een versie 1-certificaatsjabloon waarbij de Bron van onderwerpnaam is ingesteld op ‘Verstrekt in de aanvraag’ en de Inschrijfrechten zijn verleend aan een bredere set accounts, zoals domeingebruikers of domeincomputers,” legt Microsoft uit.
“Een voorbeeld is de ingebouwde Webserver-sjabloon, maar deze is standaard niet kwetsbaar vanwege de beperkte Inschrijfrechten.”
De kwetsbaarheid werd ontdekt door Lou Scicchitano, Scot Berner en Justin Bollinger met TrustedSec, die de “EKUwu” kwetsbaarheid in oktober openbaar maakten.
“Door gebruik te maken van ingebouwde standaard versie 1 certificeer sjablonen, kan een aanvaller een CSR maken om applicatiebeleid op te nemen die de voorkeur genieten boven de geconfigureerde Extended Key Usage-attributen gespecificeerd in de sjabloon,” leest men in het rapport van TrustedSec.
“Het enige vereiste zijn inschrijfrechten en het kan worden gebruikt om clientauthenticatie, certificatieraanvraagagent en coderingscertificaten te genereren met behulp van de WebServer-sjabloon.”
Zoals hierboven uitgelegd, werd CVE-2024-43451 ook openbaar gemaakt.
Recente updates van andere bedrijven
Andere leveranciers die updates of adviezen uitbrachten in november 2024 zijn onder andere:
- Adobe bracht beveiligingsupdates uit voor talrijke applicaties, waaronder Photoshop, Illustrator en Commerce.
- Cisco bracht beveiligingsupdates uit voor meerdere producten, inclusief Cisco Phones, Nexus Dashboard, Identity Services Engine en meer.
- Citrix bracht beveiligingsupdates uit voor NetScaler ADC en NetScaler Gateway-kwetsbaarheden. Ze brachten ook een update uit voor de Citrix Virtual Apps en Desktops gemeld door Watchtowr.
- Dell bracht beveiligingsupdates uit voor code-uitvoering en beveiligingsomzeilingskwetsbaarheden in SONiC OS.
- D-Link bracht een beveiligingsupdate uit voor een kritieke DSL6740C-kwetsbaarheid waarmee wijziging van accountwachtwoorden mogelijk is.
- Google bracht Chrome 131 uit, die 12 beveiligingsfixes omvat. Geen zero-days.
- Ivanti bracht beveiligingsupdates uit voor vijfentwintig kwetsbaarheden in Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS), Ivanti Secure Access Client (ISAC).
- SAP bracht beveiligingsupdates uit voor meerdere producten als onderdeel van November Patch Day.
- Schneider Electric bracht beveiligingsupdates uit voor kwetsbaarheden in Modicon M340, Momentum en MC80-producten.
- Siemens bracht een beveiligingsupdate uit voor een kritieke 10/10 kwetsbaarheid in TeleControl Server Basic gevolgd als CVE-2024-44102.
De november 2024 Patch Tuesday Security Updates
Hieronder vindt u de volledige lijst met opgeloste kwetsbaarheden in de november 2024 Patch Tuesday-updates.
Om toegang te krijgen tot de volledige beschrijving van elke kwetsbaarheid en de systemen die het beïnvloedt, kunt u het volledige rapport hier bekijken.
| Tag | CVE ID | CVE Titel | Ernstigheid |
|---|---|---|---|
| .NET en Visual Studio | CVE-2024-43499 | .NET en Visual Studio Dienstweigering Kwetsbaarheid | Belangrijk |
| .NET en Visual Studio | CVE-2024-43498 | .NET en Visual Studio Remote Code Execution Kwetsbaarheid | Kritiek |
| Airlift.microsoft.com | CVE-2024-49056 | Airlift.microsoft.com Elevatie van Privilege Kwetsbaarheid | Kritiek |
| Azure CycleCloud | CVE-2024-43602 | Azure CycleCloud Remote Code Execution Kwetsbaarheid | Belangrijk |
| LightGBM | CVE-2024-43598 | LightGBM Remote Code Execution Kwetsbaarheid | Belangrijk |
| Microsoft Defender voor Endpoint | CVE-2024-5535 | OpenSSL: CVE-2024-5535 SSL_select_next_proto buffer overread | Belangrijk |
| Microsoft Edge (Chromium-gebaseerd) | CVE-2024-10826 | Chromium: CVE-2024-10826 Use after free in Family Experiences | Onbekend |
| Microsoft Edge (Chromium-gebaseerd) | CVE-2024-10827 | Chromium: CVE-2024-10827 Use after free in Serial | Onbekend |
| Microsoft Exchange Server | CVE-2024-49040 | Microsoft Exchange Server Spoofing Kwetsbaarheid | Belangrijk |
| Microsoft Graphics Component | CVE-2024-49031 | Microsoft Office Graphics Remote Code Execution Kwetsbaarheid | Belangrijk |
| Microsoft Graphics Component | CVE-2024-49032 | Microsoft Office Graphics Remote Code Execution Kwetsbaarheid | Belangrijk |
| Microsoft Office Excel | CVE-2024-49029 | Microsoft Excel Remote Code Execution Kwetsbaarheid | Belangrijk |
| Microsoft Office Excel | CVE-2024-49026 | Microsoft Excel Remote Code Execution Kwetsbaarheid | Belangrijk |
| Microsoft Office Excel | CVE-2024-49027 | Microsoft Excel Remote Code Execution Kwetsbaarheid | Belangrijk |
| Microsoft Office Excel | CVE-2024-49028 | Microsoft Excel Remote Code Execution Kwetsbaarheid | Belangrijk |
| Microsoft Office Excel | CVE-2024-49030 | Microsoft Excel Remote Code Execution Kwetsbaarheid | Belangrijk |
| Microsoft Office SharePoint | ADV240001 | Microsoft SharePoint Server Defense in Depth Update | Geen |
| Microsoft Office Word | CVE-2024-49033 | Microsoft Word Beveiligingsfunctie Omzeiling Kwetsbaarheid | Belangrijk |
| Microsoft PC Manager | CVE-2024-49051 | Microsoft PC Manager Elevatie van Privilege Kwetsbaarheid | Belangrijk |
| Microsoft Virtual Hard Drive | CVE-2024-38264 | Microsoft Virtual Hard Disk (VHDX) Dienstweigering Kwetsbaarheid | Belangrijk |
| Microsoft Windows DNS | CVE-2024-43450 | Windows DNS Spoofing Kwetsbaarheid | Belangrijk |
| Rol: Windows Active Directory Certificate Services | CVE-2024-49019 | Active Directory Certificate Services Elevatie van Privilege Kwetsbaarheid | Belangrijk |
| Rol: Windows Hyper-V | CVE-2024-43633 | Windows Hyper-V Dienstweigering Kwetsbaarheid | Belangrijk |
| Rol: Windows Hyper-V | CVE-2024-43624 | Windows Hyper-V Gedeelde Virtuele Schijf Elevatie van Privilege Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-48998 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-48997 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-48993 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49001 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49000 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-48999 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49043 | Microsoft.SqlServer.XEvent.Configuration.dll Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-43462 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-48995 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-48994 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-38255 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-48996 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-43459 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49002 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49013 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49014 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49011 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49012 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49015 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49018 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49021 | Microsoft SQL Server Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49016 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49017 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49010 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49005 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49007 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49003 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49004 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49006 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49009 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49008 | SQL Server Native Client Remote Code Execution Kwetsbaarheid | Belangrijk |
| TorchGeo | CVE-2024-49048 | TorchGeo Remote Code Execution Kwetsbaarheid | Belangrijk |
| Visual Studio | CVE-2024-49044 | Visual Studio Elevatie van Privilege Kwetsbaarheid | Belangrijk |
| Visual Studio Code | CVE-2024-49050 | Visual Studio Code Python Extension Remote Code Execution Kwetsbaarheid | Belangrijk |
| Visual Studio Code | CVE-2024-49049 | Visual Studio Code Remote Extension Elevatie van Privilege Kwetsbaarheid | Gemiddeld |
| Windows CSC Service | CVE-2024-43644 | Windows Client-Side Caching Elevatie van Privilege Kwetsbaarheid | Belangrijk |
| Windows Defender Applicatiecontrole (WDAC) | CVE-2024-43645 | Windows Defender Application Control (WDAC) Beveiligingsfunctie Omzeiling Kwetsbaarheid | Belangrijk |
| Windows DWM Core Library | CVE-2024-43636 | Win32k Elevatie van Privilege Kwetsbaarheid | Belangrijk |
| Windows DWM Core Library | CVE-2024-43629 | Windows DWM Core Library Elevatie van Privilege Kwetsbaarheid | Belangrijk |
| Windows Kerberos | CVE-2024-43639 | Windows Kerberos Remote Code Execution Kwetsbaarheid | Kritiek |
| Windows Kernel | CVE-2024-43630 | Windows Kernel Elevatie van Privilege Kwetsbaarheid | Belangrijk |
| Windows NT OS Kernel | CVE-2024-43623 | Windows NT OS Kernel Elevatie van Privilege Kwetsbaarheid | Belangrijk |
| Windows NTLM | CVE-2024-43451 | NTLM Hash Openbaarmaking Spoofing Kwetsbaarheid | Belangrijk |
| Windows Package Library Manager | CVE-2024-38203 | Windows Package Library Manager Informatie Onthulling Kwetsbaarheid | Belangrijk |
| Windows Register | CVE-2024-43641 | Windows Register Elevatie van Privilege Kwetsbaarheid | Belangrijk |
| Windows Register | CVE-2024-43452 | Windows Register Elevatie van Privilege Kwetsbaarheid | Belangrijk |
| Windows Secure Kernel Mode | CVE-2024-43631 | Windows Secure Kernel Mode Elevatie van Privilege Kwetsbaarheid | Belangrijk |
| Windows Secure Kernel Mode | CVE-2024-43646 | Windows Secure Kernel Mode Elevatie van Privilege Kwetsbaarheid | Belangrijk |
| Windows Secure Kernel Mode | CVE-2024-43640 | Windows Kernel-Mode Driver Elevatie van Privilege Kwetsbaarheid | Belangrijk |
| Windows SMB | CVE-2024-43642 | Windows SMB Dienstweigering Kwetsbaarheid | Belangrijk |
| Windows SMBv3 Klant/Server | CVE-2024-43447 | Windows SMBv3 Server Remote Code Execution Kwetsbaarheid | Belangrijk |
| Windows Taakplanner | CVE-2024-49039 | Windows Taakplanner Elevatie van Privilege Kwetsbaarheid | Belangrijk |
| Windows Telephony Service | CVE-2024-43628 | Windows Telephony Service Remote Code Execution Kwetsbaarheid | Belangrijk |
| Windows Telephony Service | CVE-2024-43621 | Windows Telephony Service Remote Code Execution Kwetsbaarheid | Belangrijk |
| Windows Telephony Service | CVE-2024-43620 | Windows Telephony Service Remote Code Execution Kwetsbaarheid | Belangrijk |
| Windows Telephony Service | CVE-2024-43627 | Windows Telephony Service Remote Code Execution Kwetsbaarheid | Belangrijk |
| Windows Telephony Service | CVE-2024-43635 | Windows Telephony Service Remote Code Execution Kwetsbaarheid | Belangrijk |
| Windows Telephony Service | CVE-2024-43622 | Windows Telephony Service Remote Code Execution Kwetsbaarheid | Belangrijk |
| Windows Telephony Service | CVE-2024-43626 | Windows Telephony Service Elevatie van Privilege Kwetsbaarheid | Belangrijk |
| Windows Update Stack | CVE-2024-43530 | Windows Update Stack Elevatie van Privilege Kwetsbaarheid | Belangrijk |
| Windows USB Videostuurprogramma | CVE-2024-43643 | Windows USB Video Class Systeemstuurprogramma Elevatie van Privilege Kwetsbaarheid | Belangrijk |
| Windows USB Videostuurprogramma | CVE-2024-43449 | Windows USB Video Class Systeemstuurprogramma Elevatie van Privilege Kwetsbaarheid | Belangrijk |
| Windows USB Videostuurprogramma | CVE-2024-43637 | Windows USB Video Class Systeemstuurprogramma Elevatie van Privilege Kwetsbaarheid | Belangrijk |
| Windows USB Videostuurprogramma | CVE-2024-43634 | Windows USB Video Class Systeemstuurprogramma Elevatie van Privilege Kwetsbaarheid | Belangrijk |
| Windows USB Videostuurprogramma | CVE-2024-43638 | Windows USB Video Class Systeemstuurprogramma Elevatie van Privilege Kwetsbaarheid | Belangrijk |
| Windows VMSwitch | CVE-2024-43625 | Microsoft Windows VMSwitch Elevatie van Privilege Kwetsbaarheid | Kritiek |
| Windows Win32 Kernel Subsystem | CVE-2024-49046 | Windows Win32 Kernel Subsystem Elevatie van Privilege Kwetsbaarheid | Belangrijk |
Update 11/13/24: Aantal kwetsbaarheden gewijzigd naar 89, aangezien we eerder Edge-kwetsbaarheden hebben opgenomen die op 7 november zijn opgelost.
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----