Quelle: microsoft.com
Microsoft November 2024 Patch Tuesday behebt 4 Zero-Days und 91 Schwachstellen
Heute ist der November 2024 Patch Tuesday von Microsoft, der Sicherheitsupdates für 91 Schwachstellen enthält, darunter vier Zero-Day-Schwachstellen, von denen zwei aktiv ausgenutzt werden. An diesem Patch Tuesday wurden vier kritische Schwachstellen behoben, darunter zwei Schwachstellen bei der Ausführung von Remote-Code und zwei Schwachstellen bei der Erhöhung von Berechtigungen. Die Anzahl der Fehler in jeder Schwachstellenkategorie ist unten aufgeführt:
- 26 Schwachstellen bei der Erhöhung von Berechtigungen
- 2 Schwachstellen bei der Umgehung von Sicherheitsfunktionen
- 52 Sicherheitslücken bei der Ausführung von Remote-Code
- 1 Sicherheitslücke bei der Offenlegung von Informationen
- 4 Sicherheitslücken bei der Dienstverweigerung
- 3 Sicherheitslücken bei der Täuschung
Diese Zählung enthält nicht zwei Edge-Schwachstellen, die bereits am 7. November behoben wurden.
Vier Zero-Days aufgedeckt
Der diesmonatige Patch Tuesday behebt vier Zero-Days, von denen zwei aktiv für Angriffe ausgenutzt wurden und drei öffentlich bekannt wurden. Microsoft stuft eine Zero-Day-Schwachstelle als eine solche ein, die öffentlich bekannt ist oder aktiv ausgenutzt wird, während keine offizielle Lösung verfügbar ist. Die beiden aktiv ausgenutzten Zero-Day-Schwachstellen in den heutigen Updates sind:
CVE-2024-43451 - NTLM Hash Disclosure Spoofing Vulnerability
Microsoft hat eine Schwachstelle behoben, die NTLM-Hashes für Angreifer aus der Ferne mit minimaler Interaktion mit einer schädlichen Datei verfügbar macht.
„Diese Sicherheitsanfälligkeit gibt den NTLMv2-Hash eines Benutzers an den Angreifer weiter, der diesen zur Authentifizierung als Benutzer verwenden könnte“, erklärte Microsoft.
„Eine minimale Interaktion eines Benutzers mit einer schädlichen Datei, wie z. B. das Auswählen (einfacher Klick), das Untersuchen (Rechtsklick) oder das Ausführen einer anderen Aktion als dem Öffnen oder Ausführen, könnte diese Sicherheitsanfälligkeit auslösen“, so Microsoft weiter.
Microsoft gibt an, dass Israel Yeshurun von ClearSky Cyber Security diese Sicherheitsanfälligkeit entdeckt und öffentlich gemeldet hat, nennt jedoch keine weiteren Details.
CVE-2024-49039 - Windows Task Scheduler-Schwachstelle durch Erhöhung der Berechtigungen
Eine speziell gestaltete Anwendung könnte ausgeführt werden, die die Berechtigung auf die mittlere Integritätsstufe erhöht.
„In diesem Fall könnte ein erfolgreicher Angriff von einem AppContainer mit geringen Berechtigungen aus durchgeführt werden. Der Angreifer könnte seine Berechtigungen erhöhen und Code ausführen oder auf Ressourcen mit einer höheren Integritätsstufe als der der AppContainer-Ausführungsumgebung zugreifen“, erklärte Microsoft.
Microsoft gibt an, dass Angreifer durch Ausnutzung dieser Schwachstelle RPC-Funktionen ausführen könnten, die normalerweise auf privilegierte Konten beschränkt sind.
Der Fehler wurde von Vlad Stolyarov und Bahare Sabouri von der Threat Analysis Group von Google entdeckt.
Es ist nicht bekannt, wie der Fehler bei Angriffen ausgenutzt wurde.
Die anderen drei Schwachstellen, die öffentlich bekannt gegeben, aber nicht bei Angriffen ausgenutzt wurden, sind:
CVE-2024-49040 - Microsoft Exchange Server Spoofing Vulnerability
Microsoft hat eine Schwachstelle in Microsoft Exchange behoben, die es Bedrohungsakteuren ermöglicht, die E-Mail-Adresse des Absenders in E-Mails an lokale Empfänger zu fälschen.
„Microsoft ist eine Sicherheitslücke bekannt (CVE-2024-49040), die es Angreifern ermöglicht, Spoofing-Angriffe gegen Microsoft Exchange Server durchzuführen“, erklärt ein damit zusammenhängender Hinweis von Microsoft.
„Die Sicherheitslücke wird durch die aktuelle Implementierung der „P2 FROM“-Header-Verifizierung verursacht, die während des Transports stattfindet.“
Seit den Sicherheitsupdates für Microsoft Exchange in diesem Monat erkennt und kennzeichnet Microsoft gefälschte E-Mails mit einer Warnung, die dem E-Mail-Text vorangestellt wird und besagt: „Hinweis: Diese E-Mail scheint verdächtig zu sein. Vertrauen Sie den Informationen, Links oder Anhängen in dieser E-Mail nicht, ohne die Quelle durch eine vertrauenswürdige Methode zu verifizieren.“
Microsoft gibt an, dass der Fehler von Slonser von Solidlab entdeckt wurde, der den Fehler in diesem Artikel öffentlich bekannt gab.
CVE-2024-49019 – Active Directory Certificate Services-Schwachstelle zur Erhöhung von Berechtigungen
Microsoft hat einen Fehler behoben, der es Angreifern ermöglicht, Domänenadministratorrechte zu erlangen, indem sie integrierte Standardzertifikatvorlagen der Version 1 missbrauchen.
„Überprüfen Sie, ob Sie Zertifikate veröffentlicht haben, die mit einer Zertifikatvorlage der Version 1 veröffentlicht haben, bei denen die „Source of subject name“ auf „Supplied in the request“ gesetzt ist und die „Enroll“-Berechtigungen einer breiteren Gruppe von Konten, wie z. B. Domänenbenutzern oder Domänencomputern, erteilt wurden„, erklärt Microsoft.
„Ein Beispiel ist die integrierte “Web Server„-Vorlage, die jedoch aufgrund ihrer eingeschränkten “Enroll"-Berechtigungen standardmäßig nicht anfällig ist.“
Der Fehler wurde von Lou Scicchitano, Scot Berner und Justin Bollinger von TrustedSec entdeckt, die die „EKUwu“-Schwachstelle im Oktober bekannt gaben.
„Mit den integrierten Standard-Zertifikatvorlagen der Version 1 kann ein Angreifer eine CSR erstellen, die Anwendungsrichtlinien enthält, die gegenüber den in der Vorlage angegebenen konfigurierten Extended-Key-Usage-Attributen bevorzugt werden“, heißt es in TrustedSecs Bericht.
„Die einzige Voraussetzung sind Registrierungsrechte, und es kann verwendet werden, um Client-Authentifizierung, Zertifikatsanforderungs-Agenten und Codesignatur-Zertifikate unter Verwendung der WebServer-Vorlage zu generieren.“
Wie oben erläutert, wurde CVE-2024-43451 auch öffentlich bekannt gegeben.
Die Sicherheitsupdates vom Patchday im November 2024
Nachfolgend finden Sie die vollständige Liste der behobenen Schwachstellen in den Updates vom Patchday im November 2024.
| Tag | CVE ID | CVE Title | Severity |
|---|---|---|---|
| .NET and Visual Studio | CVE-2024-43499 | .NET and Visual Studio Denial of Service Vulnerability | Important |
| .NET and Visual Studio | CVE-2024-43498 | .NET and Visual Studio Remote Code Execution Vulnerability | Critical |
| Airlift.microsoft.com | CVE-2024-49056 | Airlift.microsoft.com Elevation of Privilege Vulnerability | Critical |
| Azure CycleCloud | CVE-2024-43602 | Azure CycleCloud Remote Code Execution Vulnerability | Important |
| LightGBM | CVE-2024-43598 | LightGBM Remote Code Execution Vulnerability | Important |
| Microsoft Defender for Endpoint | CVE-2024-5535 | OpenSSL: CVE-2024-5535 SSL_select_next_proto buffer overread | Important |
| Microsoft Edge (Chromium-based) | CVE-2024-10826 | Chromium: CVE-2024-10826 Use after free in Family Experiences | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2024-10827 | Chromium: CVE-2024-10827 Use after free in Serial | Unknown |
| Microsoft Exchange Server | CVE-2024-49040 | Microsoft Exchange Server Spoofing Vulnerability | Important |
| Microsoft Graphics Component | CVE-2024-49031 | Microsoft Office Graphics Remote Code Execution Vulnerability | Important |
| Microsoft Graphics Component | CVE-2024-49032 | Microsoft Office Graphics Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2024-49029 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2024-49026 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2024-49027 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2024-49028 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2024-49030 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office SharePoint | ADV240001 | Microsoft SharePoint Server Defense in Depth Update | None |
| Microsoft Office Word | CVE-2024-49033 | Microsoft Word Security Feature Bypass Vulnerability | Important |
| Microsoft PC Manager | CVE-2024-49051 | Microsoft PC Manager Elevation of Privilege Vulnerability | Important |
| Microsoft Virtual Hard Drive | CVE-2024-38264 | Microsoft Virtual Hard Disk (VHDX) Denial of Service Vulnerability | Important |
| Microsoft Windows DNS | CVE-2024-43450 | Windows DNS Spoofing Vulnerability | Important |
| Role: Windows Active Directory Certificate Services | CVE-2024-49019 | Active Directory Certificate Services Elevation of Privilege Vulnerability | Important |
| Role: Windows Hyper-V | CVE-2024-43633 | Windows Hyper-V Denial of Service Vulnerability | Important |
| Role: Windows Hyper-V | CVE-2024-43624 | Windows Hyper-V Shared Virtual Disk Elevation of Privilege Vulnerability | Important |
| SQL Server | CVE-2024-48998 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-48997 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-48993 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49001 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49000 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-48999 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49043 | Microsoft.SqlServer.XEvent.Configuration.dll Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-43462 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-48995 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-48994 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-38255 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-48996 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-43459 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49002 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49013 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49014 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49011 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49012 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49015 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49018 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49021 | Microsoft SQL Server Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49016 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49017 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49010 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49005 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49007 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49003 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49004 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49006 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49009 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49008 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| TorchGeo | CVE-2024-49048 | TorchGeo Remote Code Execution Vulnerability | Important |
| Visual Studio | CVE-2024-49044 | Visual Studio Elevation of Privilege Vulnerability | Important |
| Visual Studio Code | CVE-2024-49050 | Visual Studio Code Python Extension Remote Code Execution Vulnerability | Important |
| Visual Studio Code | CVE-2024-49049 | Visual Studio Code Remote Extension Elevation of Privilege Vulnerability | Moderate |
| Windows CSC Service | CVE-2024-43644 | Windows Client-Side Caching Elevation of Privilege Vulnerability | Important |
| Windows Defender Application Control (WDAC) | CVE-2024-43645 | Windows Defender Application Control (WDAC) Security Feature Bypass Vulnerability | Important |
| Windows DWM Core Library | CVE-2024-43636 | Win32k Elevation of Privilege Vulnerability | Important |
| Windows DWM Core Library | CVE-2024-43629 | Windows DWM Core Library Elevation of Privilege Vulnerability | Important |
| Windows Kerberos | CVE-2024-43639 | Windows Kerberos Remote Code Execution Vulnerability | Critical |
| Windows Kernel | CVE-2024-43630 | Windows Kernel Elevation of Privilege Vulnerability | Important |
| Windows NT OS Kernel | CVE-2024-43623 | Windows NT OS Kernel Elevation of Privilege Vulnerability | Important |
| Windows NTLM | CVE-2024-43451 | NTLM Hash Disclosure Spoofing Vulnerability | Important |
| Windows Package Library Manager | CVE-2024-38203 | Windows Package Library Manager Information Disclosure Vulnerability | Important |
| Windows Registry | CVE-2024-43641 | Windows Registry Elevation of Privilege Vulnerability | Important |
| Windows Registry | CVE-2024-43452 | Windows Registry Elevation of Privilege Vulnerability | Important |
| Windows Secure Kernel Mode | CVE-2024-43631 | Windows Secure Kernel Mode Elevation of Privilege Vulnerability | Important |
| Windows Secure Kernel Mode | CVE-2024-43646 | Windows Secure Kernel Mode Elevation of Privilege Vulnerability | Important |
| Windows Secure Kernel Mode | CVE-2024-43640 | Windows Kernel-Mode Driver Elevation of Privilege Vulnerability | Important |
| Windows SMB | CVE-2024-43642 | Windows SMB Denial of Service Vulnerability | Important |
| Windows SMBv3 Client/Server | CVE-2024-43447 | Windows SMBv3 Server Remote Code Execution Vulnerability | Important |
| Windows Task Scheduler | CVE-2024-49039 | Windows Task Scheduler Elevation of Privilege Vulnerability | Important |
| Windows Telephony Service | CVE-2024-43628 | Windows Telephony Service Remote Code Execution Vulnerability | Important |
| Windows Telephony Service | CVE-2024-43621 | Windows Telephony Service Remote Code Execution Vulnerability | Important |
| Windows Telephony Service | CVE-2024-43620 | Windows Telephony Service Remote Code Execution Vulnerability | Important |
| Windows Telephony Service | CVE-2024-43627 | Windows Telephony Service Remote Code Execution Vulnerability | Important |
| Windows Telephony Service | CVE-2024-43635 | Windows Telephony Service Remote Code Execution Vulnerability | Important |
| Windows Telephony Service | CVE-2024-43622 | Windows Telephony Service Remote Code Execution Vulnerability | Important |
| Windows Telephony Service | CVE-2024-43626 | Windows Telephony Service Elevation of Privilege Vulnerability | Important |
| Windows Update Stack | CVE-2024-43530 | Windows Update Stack Elevation of Privilege Vulnerability | Important |
| Windows USB Video Driver | CVE-2024-43643 | Windows USB Video Class System Driver Elevation of Privilege Vulnerability | Important |
| Windows USB Video Driver | CVE-2024-43449 | Windows USB Video Class System Driver Elevation of Privilege Vulnerability | Important |
| Windows USB Video Driver | CVE-2024-43637 | Windows USB Video Class System Driver Elevation of Privilege Vulnerability | Important |
| Windows USB Video Driver | CVE-2024-43634 | Windows USB Video Class System Driver Elevation of Privilege Vulnerability | Important |
| Windows USB Video Driver | CVE-2024-43638 | Windows USB Video Class System Driver Elevation of Privilege Vulnerability | Important |
| Windows VMSwitch | CVE-2024-43625 | Microsoft Windows VMSwitch Elevation of Privilege Vulnerability | Critical |
| Windows Win32 Kernel Subsystem | CVE-2024-49046 | Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability | Important |