Quelle: microsoft.com
Microsoft September 2024 Patch Tuesday behebt 4 Zero-Days
Heute ist der Microsoft-Patchday im September 2024, an dem Sicherheitsupdates für 79 Schwachstellen veröffentlicht werden, darunter drei aktiv ausgenutzte und eine öffentlich bekannt gemachte Zero-Day-Schwachstelle.
An diesem Patch Tuesday wurden sieben kritische Schwachstellen behoben, bei denen es sich entweder um Fehler bei der Ausführung von Remote-Code oder um Fehler bei der Erhöhung von Berechtigungen handelte.
Die Anzahl der Fehler in jeder Schwachstellenkategorie ist unten aufgeführt:
- 30 Schwachstellen bei der Erhöhung von Berechtigungen
- 4 Schwachstellen bei der Umgehung von Sicherheitsfunktionen
- 23 Schwachstellen bei der Ausführung von Remote-Code
- 11 Schwachstellen bei der Offenlegung von Informationen
- 8 Schwachstellen bei der Dienstverweigerung
- 3 Schwachstellen bei der Täuschung
Vier Zero-Days aufgedeckt
Beim Patch Tuesday in diesem Monat werden drei aktiv ausgenutzte Schwachstellen behoben, von denen eine öffentlich bekannt gegeben wurde und eine andere alte CVEs wieder einführt, sodass sie als ausgenutzt markiert ist. Microsoft stuft eine Zero-Day-Schwachstelle als eine solche ein, die öffentlich bekannt gegeben oder aktiv ausgenutzt wird, während keine offizielle Lösung verfügbar ist.
Die drei aktiv ausgenutzten Zero-Day-Schwachstellen in den heutigen Updates sind:
CVE-2024-38014 - Windows Installer-Schwachstelle zur Erhöhung von Berechtigungen
Diese Schwachstelle ermöglicht es Angreifern, SYSTEM-Berechtigungen auf Windows-Systemen zu erlangen. Microsoft hat keine Einzelheiten darüber bekannt gegeben, wie sie bei Angriffen ausgenutzt wurde. Der Fehler wurde von Michael Baer vom SEC Consult Vulnerability Lab entdeckt.
CVE-2024-38217 - Windows Mark of the Web-Sicherheitsfunktion-Umgehungsschwachstelle Dieser Fehler wurde letzten Monat öffentlich bekannt gegeben von Joe Desimone von Elastic Security und wird vermutlich seit 2018 aktiv ausgenutzt. In dem Bericht beschreibt Desimone eine Technik namens LNK-Stomping, bei der speziell erstellte LNK-Dateien mit nicht standardmäßigen Zielpfaden oder internen Strukturen dazu führen, dass die Datei unter Umgehung von Smart App Control und den Mark of the Web-Sicherheitswarnungen geöffnet wird.
„Ein Angreifer kann eine schädliche Datei erstellen, die die Abwehrmechanismen von Mark of the Web (MOTW) umgeht, was zu einem begrenzten Verlust der Integrität und Verfügbarkeit von Sicherheitsfunktionen wie der Sicherheitsprüfung SmartScreen Application Reputation und/oder der älteren Sicherheitsabfrage Windows Attachment Services führt“, erklärt Microsoft in seinem Hinweis.
CVE-2024-38226 - Microsoft Publisher-Sicherheitslücke durch Umgehung der Sicherheitsfunktion Microsoft hat einen Fehler in Microsoft Publisher behoben, der den Sicherheitsschutz gegen eingebettete Makros in heruntergeladenen Dokumenten umgeht. „Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte Office-Makro-Richtlinien umgehen, die dazu dienen, nicht vertrauenswürdige oder schädliche Dateien zu blockieren“, erklärt Microsoft in seinem Hinweis.
Microsoft hat nicht mitgeteilt, wer die Schwachstelle gemeldet hat und wie sie ausgenutzt wurde. Microsoft hat auch eine Zero-Day-Schwachstelle behoben, die als ausgenutzt markiert ist, aber dies wurde getan, da sie ältere ausgenutzte Schwachstellen wieder einführen kann, wie unten erläutert.
CVE-2024-43491 - Microsoft Windows Update Remote Code Execution Vulnerability Microsoft hat einen Fehler im Wartungsstapel behoben, der als Remote-Code-Ausführung gekennzeichnet ist, aber tatsächlich eine Reihe von Schwachstellen in zuvor gepatchten Programmen wieder einführt.
„Microsoft ist eine Schwachstelle im Servicing Stack bekannt, durch die die Korrekturen für einige Schwachstellen, die optionale Komponenten unter Windows 10, Version 1507 (Erstveröffentlichung im Juli 2015), betreffen, rückgängig gemacht wurden“, heißt es in der Microsoft-Meldung.
„Das bedeutet, dass ein Angreifer diese zuvor behobenen Schwachstellen auf Windows 10, Version 1507 (Windows 10 Enterprise 2015 LTSB und Windows 10 IoT Enterprise 2015 LTSB), ausnutzen könnte , auf denen das am 12. März 2024 veröffentlichte Windows-Sicherheitsupdate KB5035858 (OS Build 10240.20526) oder andere bis August 2024 veröffentlichte Updates installiert sind. Alle späteren Versionen von Windows 10 sind von dieser Sicherheitsanfälligkeit nicht betroffen.“
„Diese Schwachstelle im Wartungs-Stack wird durch die Installation des Wartungs-Stack-Updates vom September 2024 (SSU KB5043936) UND des Windows-Sicherheitsupdates vom September 2024 (KB5043083) in dieser Reihenfolge behoben.“
Dieser Fehler betrifft nur Windows 10, Version 1507, die 2017 das Ende ihrer Lebensdauer erreicht hat. Er betrifft jedoch auch die Editionen Windows 10 Enterprise 2015 LTSB und Windows 10 IoT Enterprise 2015 LTSB, die noch unterstützt werden.
Dieser Fehler ist interessant, weil er dazu führte, dass optionale Komponenten wie Active Directory Lightweight Directory Services, XPS Viewer, Internet Explorer 11, LPD Print Service, IIS und Windows Media Player auf ihre ursprünglichen RTM-Versionen zurückgesetzt wurden.
Dadurch wurde jede frühere CVE wieder in das Programm aufgenommen, die dann ausgenutzt werden konnte.
Microsoft hat diesen Fehler als ausgenutzt gekennzeichnet, da er Schwachstellen wieder einführt, die in der Vergangenheit aktiv ausgenutzt wurden. Microsoft gibt jedoch an, dass der Fehler selbst intern von Microsoft entdeckt wurde und es keine Hinweise darauf gibt, dass er anderen öffentlich bekannt ist.
Weitere Einzelheiten zu dem Fehler und eine vollständige Liste der betroffenen Komponenten finden Sie in der Microsoft-Meldung.
Die Sicherheitsupdates vom Patchday im September 2024
Nachfolgend finden Sie die vollständige Liste der behobenen Schwachstellen in den Updates vom Patchday im September 2024.
| Tag | CVE ID | CVE Title | Severity |
|---|---|---|---|
| Azure CycleCloud | CVE-2024-43469 | Azure CycleCloud Remote Code Execution Vulnerability | Important |
| Azure Network Watcher | CVE-2024-38188 | Azure Network Watcher VM Agent Elevation of Privilege Vulnerability | Important |
| Azure Network Watcher | CVE-2024-43470 | Azure Network Watcher VM Agent Elevation of Privilege Vulnerability | Important |
| Azure Stack | CVE-2024-38216 | Azure Stack Hub Elevation of Privilege Vulnerability | Critical |
| Azure Stack | CVE-2024-38220 | Azure Stack Hub Elevation of Privilege Vulnerability | Critical |
| Azure Web Apps | CVE-2024-38194 | Azure Web Apps Elevation of Privilege Vulnerability | Critical |
| Dynamics Business Central | CVE-2024-38225 | Microsoft Dynamics 365 Business Central Elevation of Privilege Vulnerability | Important |
| Microsoft AutoUpdate (MAU) | CVE-2024-43492 | Microsoft AutoUpdate (MAU) Elevation of Privilege Vulnerability | Important |
| Microsoft Dynamics 365 (on-premises) | CVE-2024-43476 | Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability | Important |
| Microsoft Graphics Component | CVE-2024-38247 | Windows Graphics Component Elevation of Privilege Vulnerability | Important |
| Microsoft Graphics Component | CVE-2024-38250 | Windows Graphics Component Elevation of Privilege Vulnerability | Important |
| Microsoft Graphics Component | CVE-2024-38249 | Windows Graphics Component Elevation of Privilege Vulnerability | Important |
| Microsoft Management Console | CVE-2024-38259 | Microsoft Management Console Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2024-43465 | Microsoft Excel Elevation of Privilege Vulnerability | Important |
| Microsoft Office Publisher | CVE-2024-38226 | Microsoft Publisher Security Feature Bypass Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2024-38227 | Microsoft SharePoint Server Remote Code Execution Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2024-43464 | Microsoft SharePoint Server Remote Code Execution Vulnerability | Critical |
| Microsoft Office SharePoint | CVE-2024-38018 | Microsoft SharePoint Server Remote Code Execution Vulnerability | Critical |
| Microsoft Office SharePoint | CVE-2024-38228 | Microsoft SharePoint Server Remote Code Execution Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2024-43466 | Microsoft SharePoint Server Denial of Service Vulnerability | Important |
| Microsoft Office Visio | CVE-2024-43463 | Microsoft Office Visio Remote Code Execution Vulnerability | Important |
| Microsoft Outlook for iOS | CVE-2024-43482 | Microsoft Outlook for iOS Information Disclosure Vulnerability | Important |
| Microsoft Streaming Service | CVE-2024-38245 | Kernel Streaming Service Driver Elevation of Privilege Vulnerability | Important |
| Microsoft Streaming Service | CVE-2024-38241 | Kernel Streaming Service Driver Elevation of Privilege Vulnerability | Important |
| Microsoft Streaming Service | CVE-2024-38242 | Kernel Streaming Service Driver Elevation of Privilege Vulnerability | Important |
| Microsoft Streaming Service | CVE-2024-38244 | Kernel Streaming Service Driver Elevation of Privilege Vulnerability | Important |
| Microsoft Streaming Service | CVE-2024-38243 | Kernel Streaming Service Driver Elevation of Privilege Vulnerability | Important |
| Microsoft Streaming Service | CVE-2024-38237 | Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability | Important |
| Microsoft Streaming Service | CVE-2024-38238 | Kernel Streaming Service Driver Elevation of Privilege Vulnerability | Important |
| Power Automate | CVE-2024-43479 | Microsoft Power Automate Desktop Remote Code Execution Vulnerability | Important |
| Role: Windows Hyper-V | CVE-2024-38235 | Windows Hyper-V Denial of Service Vulnerability | Important |
| SQL Server | CVE-2024-37338 | Microsoft SQL Server Native Scoring Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-37980 | Microsoft SQL Server Elevation of Privilege Vulnerability | Important |
| SQL Server | CVE-2024-26191 | Microsoft SQL Server Native Scoring Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-37339 | Microsoft SQL Server Native Scoring Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-37337 | Microsoft SQL Server Native Scoring Information Disclosure Vulnerability | Important |
| SQL Server | CVE-2024-26186 | Microsoft SQL Server Native Scoring Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-37342 | Microsoft SQL Server Native Scoring Information Disclosure Vulnerability | Important |
| SQL Server | CVE-2024-43474 | Microsoft SQL Server Information Disclosure Vulnerability | Important |
| SQL Server | CVE-2024-37335 | Microsoft SQL Server Native Scoring Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-37966 | Microsoft SQL Server Native Scoring Information Disclosure Vulnerability | Important |
| SQL Server | CVE-2024-37340 | Microsoft SQL Server Native Scoring Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-37965 | Microsoft SQL Server Elevation of Privilege Vulnerability | Important |
| SQL Server | CVE-2024-37341 | Microsoft SQL Server Elevation of Privilege Vulnerability | Important |
| Windows Admin Center | CVE-2024-43475 | Microsoft Windows Admin Center Information Disclosure Vulnerability | Important |
| Windows AllJoyn API | CVE-2024-38257 | Microsoft AllJoyn API Information Disclosure Vulnerability | Important |
| Windows Authentication Methods | CVE-2024-38254 | Windows Authentication Information Disclosure Vulnerability | Important |
| Windows DHCP Server | CVE-2024-38236 | DHCP Server Service Denial of Service Vulnerability | Important |
| Windows Installer | CVE-2024-38014 | Windows Installer Elevation of Privilege Vulnerability | Important |
| Windows Kerberos | CVE-2024-38239 | Windows Kerberos Elevation of Privilege Vulnerability | Important |
| Windows Kernel-Mode Drivers | CVE-2024-38256 | Windows Kernel-Mode Driver Information Disclosure Vulnerability | Important |
| Windows Libarchive | CVE-2024-43495 | Windows libarchive Remote Code Execution Vulnerability | Important |
| Windows Mark of the Web (MOTW) | CVE-2024-38217 | Windows Mark of the Web Security Feature Bypass Vulnerability | Important |
| Windows Mark of the Web (MOTW) | CVE-2024-43487 | Windows Mark of the Web Security Feature Bypass Vulnerability | Moderate |
| Windows MSHTML Platform | CVE-2024-43461 | Windows MSHTML Platform Spoofing Vulnerability | Important |
| Windows Network Address Translation (NAT) | CVE-2024-38119 | Windows Network Address Translation (NAT) Remote Code Execution Vulnerability | Critical |
| Windows Network Virtualization | CVE-2024-38232 | Windows Networking Denial of Service Vulnerability | Important |
| Windows Network Virtualization | CVE-2024-38233 | Windows Networking Denial of Service Vulnerability | Important |
| Windows Network Virtualization | CVE-2024-38234 | Windows Networking Denial of Service Vulnerability | Important |
| Windows Network Virtualization | CVE-2024-43458 | Windows Networking Information Disclosure Vulnerability | Important |
| Windows PowerShell | CVE-2024-38046 | PowerShell Elevation of Privilege Vulnerability | Important |
| Windows Remote Access Connection Manager | CVE-2024-38240 | Windows Remote Access Connection Manager Elevation of Privilege Vulnerability | Important |
| Windows Remote Desktop Licensing Service | CVE-2024-38231 | Windows Remote Desktop Licensing Service Denial of Service Vulnerability | Important |
| Windows Remote Desktop Licensing Service | CVE-2024-38258 | Windows Remote Desktop Licensing Service Information Disclosure Vulnerability | Important |
| Windows Remote Desktop Licensing Service | CVE-2024-43467 | Windows Remote Desktop Licensing Service Remote Code Execution Vulnerability | Important |
| Windows Remote Desktop Licensing Service | CVE-2024-43454 | Windows Remote Desktop Licensing Service Remote Code Execution Vulnerability | Important |
| Windows Remote Desktop Licensing Service | CVE-2024-38263 | Windows Remote Desktop Licensing Service Remote Code Execution Vulnerability | Important |
| Windows Remote Desktop Licensing Service | CVE-2024-38260 | Windows Remote Desktop Licensing Service Remote Code Execution Vulnerability | Important |
| Windows Remote Desktop Licensing Service | CVE-2024-43455 | Windows Remote Desktop Licensing Service Spoofing Vulnerability | Important |
| Windows Security Zone Mapping | CVE-2024-30073 | Windows Security Zone Mapping Security Feature Bypass Vulnerability | Important |
| Windows Setup and Deployment | CVE-2024-43457 | Windows Setup and Deployment Elevation of Privilege Vulnerability | Important |
| Windows Standards-Based Storage Management Service | CVE-2024-38230 | Windows Standards-Based Storage Management Service Denial of Service Vulnerability | Important |
| Windows Storage | CVE-2024-38248 | Windows Storage Elevation of Privilege Vulnerability | Important |
| Windows TCP/IP | CVE-2024-21416 | Windows TCP/IP Remote Code Execution Vulnerability | Important |
| Windows TCP/IP | CVE-2024-38045 | Windows TCP/IP Remote Code Execution Vulnerability | Important |
| Windows Update | CVE-2024-43491 | Microsoft Windows Update Remote Code Execution Vulnerability | Critical |
| Windows Win32K - GRFX | CVE-2024-38246 | Win32k Elevation of Privilege Vulnerability | Important |
| Windows Win32K - ICOMP | CVE-2024-38252 | Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability | Important |
| Windows Win32K - ICOMP | CVE-2024-38253 | Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability | Important |