Microsoft Patch Tuesday van november 2024 verhelpt 4 zero-daylekken en 91 andere kwetsbaarheden
Vandaag is het Microsoft Patch Tuesday van november 2024, met beveiligingsupdates voor 91 kwetsbaarheden, waaronder vier zero-days, waarvan er twee actief worden misbruikt.
Deze Patch Tuesday heeft vier kritieke kwetsbaarheden opgelost, waaronder twee remote code execution en twee elevatie van rechten kwetsbaarheden.
Het aantal bugs in elke kwetsbaarheidscategorie staat hieronder vermeld:
- 26 Elevatie van Rechten kwetsbaarheden
- 2 Beveiligingsfunctie Bypass kwetsbaarheden
- 52 Remote Code Execution kwetsbaarheden
- 1 Informatie-onthulling kwetsbaarheid
- 4 Denial of Service kwetsbaarheden
- 3 Spoofing kwetsbaarheden
Dit aantal omvat niet de twee Edge-fouten die eerder op 7 november zijn opgelost.
Voor meer informatie over de niet-beveiligingsupdates die vandaag zijn uitgebracht, kunt u onze speciale artikelen over de nieuwe Windows 11 KB5046617 en KB5046633 cumulatieve updates bekijken.
Vier zero-days openbaar gemaakt
De Patch Tuesday van deze maand repareert vier zero-days, waarvan er twee actief werden misbruikt in aanvallen, en drie openbaar zijn onthuld.
Microsoft classificeert een zero-day-kwetsbaarheid als een die openbaar is onthuld of actief wordt misbruikt terwijl er nog geen officiële oplossing beschikbaar is.
De twee actief uitgebuite zero-day kwetsbaarheden in de updates van vandaag zijn:
CVE-2024-43451 – NTLM Hash Disclosure Spoofing kwetsbaarheid
Microsoft heeft een kwetsbaarheid opgelost die NTLM-hashes blootstelt aan externe aanvallers met minimale interactie met een schadelijk bestand.
“Deze kwetsbaarheid onthult de NTLMv2-hash van een gebruiker aan de aanvaller, die deze kan gebruiken om zich als de gebruiker te authenticeren,” legde Microsoft uit.
“Minimale interactie met een schadelijk bestand door een gebruiker zoals selecteren (enkele klik), inspecteren (rechterklik), of een andere actie dan openen of uitvoeren kan deze kwetsbaarheid activeren,” vervolgde Microsoft.
Microsoft zegt dat Israel Yeshurun van ClearSky Cyber Security deze kwetsbaarheid heeft ontdekt en dat deze openbaar is gemaakt, maar gaf geen verdere details.
CVE-2024-49039 – Windows Task Scheduler Elevation of Privilege kwetsbaarheid
Een speciaal ontworpen applicatie kan worden uitgevoerd die de rechten verhoogt naar Medium Integriteitsniveau.
“In dit geval kan een geslaagde aanval worden uitgevoerd vanuit een laag privileges niveau AppContainer. De aanvaller zou zijn rechten kunnen verhogen en code of bronnen kunnen uitvoeren of toegang krijgen op een hoger integriteitsniveau dan dat van de AppContainer-uitvoeringsomgeving,” legde Microsoft uit.
Microsoft zegt dat het misbruiken van deze kwetsbaarheid aanvallers in staat zou stellen om RPC-functies uit te voeren die normaal zijn beperkt tot geprivilegieerde accounts.
De kwetsbaarheid is ontdekt door Vlad Stolyarov en Bahare Sabouri van de Threat Analysis Group van Google.
Het is niet bekend hoe de kwetsbaarheid werd misbruikt in aanvallen.
De andere drie kwetsbaarheden die openbaar zijn onthuld maar niet zijn misbruikt in aanvallen zijn:
CVE-2024-49040 – Microsoft Exchange Server Spoofing kwetsbaarheid
Microsoft heeft een Microsoft Exchange-kwetsbaarheid opgelost waarmee dreigingsactoren het e-mailadres van de afzender kunnen vervalsen in e-mails naar lokale ontvangers.
“Microsoft is zich bewust van een kwetsbaarheid (CVE-2024-49040) waarmee aanvallers spoofing-aanvallen kunnen uitvoeren tegen Microsoft Exchange Server,” legt een gerelateerd advies van Microsoft uit.
“De kwetsbaarheid wordt veroorzaakt door de huidige implementatie van de P2 FROM header verificatie, die in transport plaatsvindt.”
Vanaf deze maand detecteert en markeert Microsoft met de beveiligingsupdates van Microsoft Exchange nu gespoofte e-mails met een melding vooraan in de e-mailtekst waarin staat: “Opmerking: deze e-mail lijkt verdacht te zijn. Vertrouw de informatie, links of bijlagen in deze e-mail niet zonder de bron te verifiëren via een vertrouwde methode.”
Microsoft zegt dat de kwetsbaarheid is ontdekt door Slonser van Solidlab, die de kwetsbaarheid openbaar heeft gemaakt in dit artikel.
CVE-2024-49019 – Active Directory Certificate Services Elevation of Privilege kwetsbaarheid
Microsoft heeft een kwetsbaarheid opgelost die aanvallers in staat stelt domeinbeheerderrechten te verkrijgen door misbruik te maken van ingebouwde versie 1-certificaatsjablonen.
“Controleer of er certificaten zijn gepubliceerd die zijn gemaakt met behulp van een versie 1-certificaatsjabloon waarbij de Bron van onderwerpnaam is ingesteld op “Opgegeven in het verzoek” en de Enroll rechten zijn toegekend aan een bredere set accounts, zoals domeingebruikers of domeincomputers,” legt Microsoft uit.
“Een voorbeeld is de ingebouwde Web Servers template, die echter niet standaard kwetsbaar is vanwege de beperkte Enroll rechten.”
De kwetsbaarheid is ontdekt door Lou Scicchitano, Scot Berner, en Justin Bollinger van TrustedSec, die in oktober de “EKUwu” kwetsbaarheid hebben onthuld.
“Met behulp van ingebouwde versie 1-certificaatsjablonen kan een aanvaller een CSR maken om toepassingsbeleid op te nemen die de voorkeur hebben boven de geconfigureerde attribuutinstellingen voor uitgebreid sleutelgebruik (EKU) die in de sjabloon zijn opgegeven,” luidt het rapport van TrustedSec.
“De enige vereiste is inschrijvingsrechten en het kan worden gebruikt om clientauthenticatie, verzoekmachtigingsagent en code-ondertekeningscertificaten te genereren met behulp van de WebServer sjabloon.”
Zoals hierboven uitgelegd, werd ook CVE-2024-43451 openbaar gemaakt.
Recente updates van andere bedrijven
Andere aanbieders die updates of adviezen in november 2024 hebben uitgebracht, zijn onder andere:
- Adobe heeft beveiligingsupdates uitgebracht voor tal van toepassingen, waaronder Photoshop, Illustrator en Commerce.
- Cisco heeft beveiligingsupdates uitgebracht voor meerdere producten, waaronder Cisco Phones, Nexus Dashboard, Identity Services Engine, en meer.
- Citrix heeft beveiligingsupdates uitgebracht voor kwetsbaarheden in NetScaler ADC en NetScaler Gateway. Ze hebben ook een update uitgebracht voor de Citrix Virtual Apps en Desktops, gerapporteerd door Watchtower.
- Dell heeft beveiligingsupdates uitgebracht voor code-uitvoering en security bypass-kwetsbaarheden in SONiC OS.
- D-Link heeft een beveiligingsupdate uitgebracht voor een kritieke DSL6740C-kwetsbaarheid die het wijzigen van accountwachtwoorden toestaat.
- Ivanti heeft beveiligingsupdates uitgebracht voor vijfentwintig kwetsbaarheden in Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS), Ivanti Secure Access Client (ISAC).
- SAP heeft beveiligingsupdates uitgebracht voor meerdere producten als onderdeel van November Patch Day.
- Schneider Electric heeft beveiligingsupdates uitgebracht voor kwetsbaarheden in Modicon M340, Momentum, en MC80 producten.
- Siemens heeft een beveiligingsupdate uitgebracht voor een kritieke 10/10 kwetsbaarheid in TeleControl Server Basic, geregistreerd als CVE-2024-44102.
De beveiligingsupdates van de Patch Tuesday van november 2024
Hieronder staat de complete lijst van opgeloste kwetsbaarheden in de November 2024 Patch Tuesday updates.
Voor de volledige beschrijving van elke kwetsbaarheid en de systemen die hierdoor worden beïnvloed, kunt u het volledige rapport hier bekijken.
| Tag | CVE ID | CVE Titel | Ernst |
|---|---|---|---|
| .NET en Visual Studio | CVE-2024-43499 | .NET en Visual Studio Denial of Service kwetsbaarheid | Belangrijk |
| .NET en Visual Studio | CVE-2024-43498 | .NET en Visual Studio Remote Code Execution kwetsbaarheid | Kritiek |
| Airlift.microsoft.com | CVE-2024-49056 | Airlift.microsoft.com Elevatie van Rechten kwetsbaarheid | Kritiek |
| Azure CycleCloud | CVE-2024-43602 | Azure CycleCloud Remote Code Execution kwetsbaarheid | Belangrijk |
| LightGBM | CVE-2024-43598 | LightGBM Remote Code Execution kwetsbaarheid | Belangrijk |
| Microsoft Defender for Endpoint | CVE-2024-5535 | OpenSSL: CVE-2024-5535 SSL_select_next_proto buffer overread | Belangrijk |
| Microsoft Edge (Chromium-gebaseerd) | CVE-2024-10826 | Chromium: CVE-2024-10826 Use after free in Family Experiences | Onbekend |
| Microsoft Edge (Chromium-gebaseerd) | CVE-2024-10827 | Chromium: CVE-2024-10827 Use after free in Serial | Onbekend |
| Microsoft Exchange Server | CVE-2024-49040 | Microsoft Exchange Server Spoofing kwetsbaarheid | Belangrijk |
| Microsoft Graphics Component | CVE-2024-49031 | Microsoft Office Graphics Remote Code Execution kwetsbaarheid | Belangrijk |
| Microsoft Graphics Component | CVE-2024-49032 | Microsoft Office Graphics Remote Code Execution kwetsbaarheid | Belangrijk |
| Microsoft Office Excel | CVE-2024-49029 | Microsoft Excel Remote Code Execution kwetsbaarheid | Belangrijk |
| Microsoft Office Excel | CVE-2024-49026 | Microsoft Excel Remote Code Execution kwetsbaarheid | Belangrijk |
| Microsoft Office Excel | CVE-2024-49027 | Microsoft Excel Remote Code Execution kwetsbaarheid | Belangrijk |
| Microsoft Office Excel | CVE-2024-49028 | Microsoft Excel Remote Code Execution kwetsbaarheid | Belangrijk |
| Microsoft Office Excel | CVE-2024-49030 | Microsoft Excel Remote Code Execution kwetsbaarheid | Belangrijk |
| Microsoft Office SharePoint | ADV240001 | Microsoft SharePoint Server Defense in Depth Update | Geen |
| Microsoft Office Word | CVE-2024-49033 | Microsoft Word Beveiligingsfunctie Bypass kwetsbaarheid | Belangrijk |
| Microsoft PC Manager | CVE-2024-49051 | Microsoft PC Manager Elevatie van Rechten kwetsbaarheid | Belangrijk |
| Microsoft Virtual Hard Drive | CVE-2024-38264 | Microsoft Virtual Hard Disk (VHDX) Denial of Service kwetsbaarheid | Belangrijk |
| Microsoft Windows DNS | CVE-2024-43450 | Windows DNS Spoofing kwetsbaarheid | Belangrijk |
| Rol: Windows Active Directory Certificate Services | CVE-2024-49019 | Active Directory Certificate Services Elevatie van Rechten kwetsbaarheid | Belangrijk |
| Rol: Windows Hyper-V | CVE-2024-43633 | Windows Hyper-V Denial of Service kwetsbaarheid | Belangrijk |
| Rol: Windows Hyper-V | CVE-2024-43624 | Windows Hyper-V Gedeelde Virtuele Schijf Elevatie van Rechten kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-48998 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-48997 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-48993 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49001 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49000 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-48999 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49043 | Microsoft.SqlServer.XEvent.Configuration.dll Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-43462 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-48995 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-48994 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-38255 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-48996 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-43459 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49002 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49013 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49014 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49011 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49012 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49015 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49018 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49021 | Microsoft SQL Server Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49016 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49017 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49010 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49005 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49007 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49003 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49004 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49006 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49009 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| SQL Server | CVE-2024-49008 | SQL Server Native Client Remote Code Execution kwetsbaarheid | Belangrijk |
| TorchGeo | CVE-2024-49048 | TorchGeo Remote Code Execution kwetsbaarheid | Belangrijk |
| Visual Studio | CVE-2024-49044 | Visual Studio Elevatie van Rechten kwetsbaarheid | Belangrijk |
| Visual Studio Code | CVE-2024-49050 | Visual Studio Code Python Extension Remote Code Execution kwetsbaarheid | Belangrijk |
| Visual Studio Code | CVE-2024-49049 | Visual Studio Code Remote Extension Elevatie van Rechten kwetsbaarheid | Gemiddeld |
| Windows CSC Service | CVE-2024-43644 | Windows Client-Side Caching Elevatie van Rechten kwetsbaarheid | Belangrijk |
| Windows Defender Application Control (WDAC) | CVE-2024-43645 | Windows Defender Application Control (WDAC) Beveiligingsfunctie Bypass kwetsbaarheid | Belangrijk |
| Windows DWM Core Library | CVE-2024-43636 | Win32k Elevatie van Rechten kwetsbaarheid | Belangrijk |
| Windows DWM Core Library | CVE-2024-43629 | Windows DWM Core Library Elevatie van Rechten kwetsbaarheid | Belangrijk |
| Windows Kerberos | CVE-2024-43639 | Windows Kerberos Remote Code Execution kwetsbaarheid | Kritiek |
| Windows Kernel | CVE-2024-43630 | Windows Kernel Elevatie van Rechten kwetsbaarheid | Belangrijk |
| Windows NT OS Kernel | CVE-2024-43623 | Windows NT OS Kernel Elevatie van Rechten kwetsbaarheid | Belangrijk |
| Windows NTLM | CVE-2024-43451 | NTLM Hash Disclosure Spoofing kwetsbaarheid | Belangrijk |
| Windows Package Library Manager | CVE-2024-38203 | Windows Package Library Manager Informatie-onthulling kwetsbaarheid | Belangrijk |
| Windows Registry | CVE-2024-43641 | Windows Registry Elevatie van Rechten kwetsbaarheid | Belangrijk |
| Windows Registry | CVE-2024-43452 | Windows Registry Elevatie van Rechten kwetsbaarheid | Belangrijk |
| Windows Secure Kernel Mode | CVE-2024-43631 | Windows Secure Kernel Mode Elevatie van Rechten kwetsbaarheid | Belangrijk |
| Windows Secure Kernel Mode | CVE-2024-43646 | Windows Secure Kernel Mode Elevatie van Rechten kwetsbaarheid | Belangrijk |
| Windows Secure Kernel Mode | CVE-2024-43640 | Windows Kernel-Mode Driver Elevatie van Rechten kwetsbaarheid | Belangrijk |
| Windows SMB | CVE-2024-43642 | Windows SMB Denial of Service kwetsbaarheid | Belangrijk |
| Windows SMBv3 Client/Server | CVE-2024-43447 | Windows SMBv3 Server Remote Code Execution kwetsbaarheid | Belangrijk |
| Windows Task Scheduler | CVE-2024-49039 | Windows Task Scheduler Elevatie van Rechten kwetsbaarheid | Belangrijk |
| Windows Telephony Service | CVE-2024-43628 | Windows Telephony Service Remote Code Execution kwetsbaarheid | Belangrijk |
| Windows Telephony Service | CVE-2024-43621 | Windows Telephony Service Remote Code Execution kwetsbaarheid | Belangrijk |
| Windows Telephony Service | CVE-2024-43620 | Windows Telephony Service Remote Code Execution kwetsbaarheid | Belangrijk |
| Windows Telephony Service | CVE-2024-43627 | Windows Telephony Service Remote Code Execution kwetsbaarheid | Belangrijk |
| Windows Telephony Service | CVE-2024-43635 | Windows Telephony Service Remote Code Execution kwetsbaarheid | Belangrijk |
| Windows Telephony Service | CVE-2024-43622 | Windows Telephony Service Remote Code Execution kwetsbaarheid | Belangrijk |
| Windows Telephony Service | CVE-2024-43626 | Windows Telephony Service Elevatie van Rechten kwetsbaarheid | Belangrijk |
| Windows Update Stack | CVE-2024-43530 | Windows Update Stack Elevatie van Rechten kwetsbaarheid | Belangrijk |
| Windows USB Video Driver | CVE-2024-43643 | Windows USB Video Class System Driver Elevatie van Rechten kwetsbaarheid | Belangrijk |
| Windows USB Video Driver | CVE-2024-43449 | Windows USB Video Class System Driver Elevatie van Rechten kwetsbaarheid | Belangrijk |
| Windows USB Video Driver | CVE-2024-43637 | Windows USB Video Class System Driver Elevatie van Rechten kwetsbaarheid | Belangrijk |
| Windows USB Video Driver | CVE-2024-43634 | Windows USB Video Class System Driver Elevatie van Rechten kwetsbaarheid | Belangrijk |
| Windows USB Video Driver | CVE-2024-43638 | Windows USB Video Class System Driver Elevatie van Rechten kwetsbaarheid | Belangrijk |
| Windows VMSwitch | CVE-2024-43625 | Microsoft Windows VMSwitch Elevatie van Rechten kwetsbaarheid | Kritiek |
| Windows Win32 Kernel Subsystem | CVE-2024-49046 | Windows Win32 Kernel Subsystem Elevatie van Rechten kwetsbaarheid | Belangrijk |
Update 9/11/24: Bijgewerkt om uit te leggen dat slechts drie fouten actief werden uitgebuit en waarom CVE-2024-43491 als uitgebuit werd gemarkeerd.
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----