Microsoft November 2024 Patch Tuesday zawiera aktualizacje zabezpieczeń dla 91 luk, w tym czterech zero-day, z których dwie są aktywnie wykorzystywane.
Dwie aktywnie wykorzystywane luki zero-day w dzisiejszych aktualizacjach to:
CVE-2024-43451 — Luka umożliwiająca podszywanie się pod skrót NTLM
Microsoft naprawił lukę, która ujawnia skróty NTLM zdalnym atakującym przy minimalnej interakcji ze złośliwym plikiem.
„Ta luka ujawnia skrót NTLMv2 użytkownika atakującemu, który może go użyć do uwierzytelnienia się jako użytkownik” — wyjaśnił Microsoft.
„Minimalna interakcja użytkownika ze złośliwym plikiem, taka jak wybranie (pojedyncze kliknięcie), sprawdzenie (prawy przycisk myszy) lub wykonanie innej czynności niż otwarcie lub uruchomienie, może wywołać tę lukę” — kontynuował Microsoft.
CVE-2024-49039 — Luka umożliwiająca podniesienie uprawnień w harmonogramie zadań systemu Windows
Można uruchomić specjalnie spreparowaną aplikację, która podnosi uprawnienia do poziomu średniej integralności.
„W tym przypadku udany atak mógłby zostać przeprowadzony z niskiego poziomu uprawnień AppContainer. Atakujący mógłby podnieść swoje uprawnienia i wykonać kod lub uzyskać dostęp do zasobów na wyższym poziomie integralności niż środowisko wykonawcze AppContainer” — wyjaśnił Microsoft.
Microsoft twierdzi, że wykorzystanie tej luki pozwoliłoby atakującym na wykonywanie funkcji RPC, które są zwykle ograniczone do kont uprzywilejowanych.
Pozostałe trzy luki, które zostały ujawnione publicznie, ale nie zostały wykorzystane w atakach, to:
CVE-2024-49040 — Luka umożliwiająca podszywanie się pod Microsoft Exchange Server
Microsoft naprawił lukę w zabezpieczeniach Microsoft Exchange, która umożliwia atakującym podszywanie się pod adres e-mail nadawcy w wiadomościach e-mail do lokalnych odbiorców.
„Microsoft jest świadomy luki w zabezpieczeniach (CVE-2024-49040), która umożliwia atakującym przeprowadzanie ataków podszywania się pod Microsoft Exchange Server” — wyjaśnia powiązany komunikat Microsoft.
„Luka jest spowodowana obecną implementacją weryfikacji nagłówka P2 FROM, która ma miejsce w transporcie”.
CVE-2024-49019 — Luka w zabezpieczeniach usług certyfikatów Active Directory umożliwiająca podniesienie uprawnień
Microsoft naprawił lukę, która umożliwia atakującym uzyskanie uprawnień administratora domeny poprzez nadużywanie wbudowanych domyślnych szablonów certyfikatów w wersji 1.
„Sprawdź, czy opublikowałeś jakiekolwiek certyfikaty utworzone przy użyciu szablonu certyfikatu w wersji 1, w którym Źródło nazwy podmiotu jest ustawione na „Dostarczone w żądaniu”, a uprawnienia Enroll są przyznawane szerszemu zestawowi kont, takim jak użytkownicy domeny lub komputery domeny” — wyjaśnia Microsoft.
„Przykładem jest wbudowany szablon serwera WWW, ale domyślnie nie jest on podatny ze względu na ograniczone uprawnienia Enroll”.
„Korzystając z wbudowanych domyślnych szablonów certyfikatów w wersji 1, atakujący może utworzyć CSR, aby uwzględnić zasady aplikacji, które są preferowane w stosunku do skonfigurowanych atrybutów Extended Key Usage określonych w szablonie” — czytamy w raporcie TrustedSec.
„Jedynym wymogiem są prawa do rejestracji, a można ich używać do generowania uwierzytelniania klienta, agenta żądania certyfikatu i współprojektowania certyfikatów przy użyciu szablonu WebServer”.
Jak wyjaśniono powyżej, CVE-2024-43451 został również ujawniony publicznie.
| Tag | CVE ID | CVE Title | Krytyczność |
| .NET and Visual Studio | CVE-2024-43499 | .NET and Visual Studio Denial of Service Vulnerability | Ważna |
| .NET and Visual Studio | CVE-2024-43498 | .NET and Visual Studio Remote Code Execution Vulnerability | Krytyczna |
| Airlift.microsoft.com | CVE-2024-49056 | Airlift.microsoft.com Elevation of Privilege Vulnerability | Krytyczna |
| Azure CycleCloud | CVE-2024-43602 | Azure CycleCloud Remote Code Execution Vulnerability | Ważna |
| LightGBM | CVE-2024-43598 | LightGBM Remote Code Execution Vulnerability | Ważna |
| Microsoft Defender for Endpoint | CVE-2024-5535 | OpenSSL: CVE-2024-5535 SSL_select_next_proto buffer overread | Ważna |
| Microsoft Edge (Chromium-based) | CVE-2024-10826 | Chromium: CVE-2024-10826 Use after free in Family Experiences | Nieokreślona |
| Microsoft Edge (Chromium-based) | CVE-2024-10827 | Chromium: CVE-2024-10827 Use after free in Serial | Unknown |
| Microsoft Exchange Server | CVE-2024-49040 | Microsoft Exchange Server Spoofing Vulnerability | Ważna |
| Microsoft Graphics Component | CVE-2024-49031 | Microsoft Office Graphics Remote Code Execution Vulnerability | Ważna |
| Microsoft Graphics Component | CVE-2024-49032 | Microsoft Office Graphics Remote Code Execution Vulnerability | Ważna |
| Microsoft Office Excel | CVE-2024-49029 | Microsoft Excel Remote Code Execution Vulnerability | Ważna |
| Microsoft Office Excel | CVE-2024-49026 | Microsoft Excel Remote Code Execution Vulnerability | Ważna |
| Microsoft Office Excel | CVE-2024-49027 | Microsoft Excel Remote Code Execution Vulnerability | Ważna |
| Microsoft Office Excel | CVE-2024-49028 | Microsoft Excel Remote Code Execution Vulnerability | Ważna |
| Microsoft Office Excel | CVE-2024-49030 | Microsoft Excel Remote Code Execution Vulnerability | Ważna |
| Microsoft Office SharePoint | ADV240001 | Microsoft SharePoint Server Defense in Depth Update | Nieokreślona |
| Microsoft Office Word | CVE-2024-49033 | Microsoft Word Security Feature Bypass Vulnerability | Ważna |
| Microsoft PC Manager | CVE-2024-49051 | Microsoft PC Manager Elevation of Privilege Vulnerability | Ważna |
| Microsoft Virtual Hard Drive | CVE-2024-38264 | Microsoft Virtual Hard Disk (VHDX) Denial of Service Vulnerability | Ważna |
| Microsoft Windows DNS | CVE-2024-43450 | Windows DNS Spoofing Vulnerability | Ważna |
| Role: Windows Active Directory Certificate Services | CVE-2024-49019 | Active Directory Certificate Services Elevation of Privilege Vulnerability | Ważna |
| Role: Windows Hyper-V | CVE-2024-43633 | Windows Hyper-V Denial of Service Vulnerability | Ważna |
| Role: Windows Hyper-V | CVE-2024-43624 | Windows Hyper-V Shared Virtual Disk Elevation of Privilege Vulnerability | Ważna |
| SQL Server | CVE-2024-48998 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-48997 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-48993 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-49001 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-49000 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-48999 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-49043 | Microsoft.SqlServer.XEvent.Configuration.dll Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-43462 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-48995 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-48994 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-38255 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-48996 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-43459 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-49002 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-49013 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-49014 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-49011 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-49012 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-49015 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-49018 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-49021 | Microsoft SQL Server Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-49016 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-49017 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-49010 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-49005 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-49007 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-49003 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-49004 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-49006 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-49009 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| SQL Server | CVE-2024-49008 | SQL Server Native Client Remote Code Execution Vulnerability | Ważna |
| TorchGeo | CVE-2024-49048 | TorchGeo Remote Code Execution Vulnerability | Ważna |
| Visual Studio | CVE-2024-49044 | Visual Studio Elevation of Privilege Vulnerability | Ważna |
| Visual Studio Code | CVE-2024-49050 | Visual Studio Code Python Extension Remote Code Execution Vulnerability | Ważna |
| Visual Studio Code | CVE-2024-49049 | Visual Studio Code Remote Extension Elevation of Privilege Vulnerability | Umiarkowana |
| Windows CSC Service | CVE-2024-43644 | Windows Client-Side Caching Elevation of Privilege Vulnerability | Ważna |
| Windows Defender Application Control (WDAC) | CVE-2024-43645 | Windows Defender Application Control (WDAC) Security Feature Bypass Vulnerability | Ważna |
| Windows DWM Core Library | CVE-2024-43636 | Win32k Elevation of Privilege Vulnerability | Ważna |
| Windows DWM Core Library | CVE-2024-43629 | Windows DWM Core Library Elevation of Privilege Vulnerability | Ważna |
| Windows Kerberos | CVE-2024-43639 | Windows Kerberos Remote Code Execution Vulnerability | Krytyczna |
| Windows Kernel | CVE-2024-43630 | Windows Kernel Elevation of Privilege Vulnerability | Ważna |
| Windows NT OS Kernel | CVE-2024-43623 | Windows NT OS Kernel Elevation of Privilege Vulnerability | Ważna |
| Windows NTLM | CVE-2024-43451 | NTLM Hash Disclosure Spoofing Vulnerability | Ważna |
| Windows Package Library Manager | CVE-2024-38203 | Windows Package Library Manager Information Disclosure Vulnerability | Ważna |
| Windows Registry | CVE-2024-43641 | Windows Registry Elevation of Privilege Vulnerability | Ważna |
| Windows Registry | CVE-2024-43452 | Windows Registry Elevation of Privilege Vulnerability | Ważna |
| Windows Secure Kernel Mode | CVE-2024-43631 | Windows Secure Kernel Mode Elevation of Privilege Vulnerability | Ważna |
| Windows Secure Kernel Mode | CVE-2024-43646 | Windows Secure Kernel Mode Elevation of Privilege Vulnerability | Ważna |
| Windows Secure Kernel Mode | CVE-2024-43640 | Windows Kernel-Mode Driver Elevation of Privilege Vulnerability | Ważna |
| Windows SMB | CVE-2024-43642 | Windows SMB Denial of Service Vulnerability | Ważna |
| Windows SMBv3 Client/Server | CVE-2024-43447 | Windows SMBv3 Server Remote Code Execution Vulnerability | Ważna |
| Windows Task Scheduler | CVE-2024-49039 | Windows Task Scheduler Elevation of Privilege Vulnerability | Ważna |
| Windows Telephony Service | CVE-2024-43628 | Windows Telephony Service Remote Code Execution Vulnerability | Ważna |
| Windows Telephony Service | CVE-2024-43621 | Windows Telephony Service Remote Code Execution Vulnerability | Ważna |
| Windows Telephony Service | CVE-2024-43620 | Windows Telephony Service Remote Code Execution Vulnerability | Ważna |
| Windows Telephony Service | CVE-2024-43627 | Windows Telephony Service Remote Code Execution Vulnerability | Ważna |
| Windows Telephony Service | CVE-2024-43635 | Windows Telephony Service Remote Code Execution Vulnerability | Ważna |
| Windows Telephony Service | CVE-2024-43622 | Windows Telephony Service Remote Code Execution Vulnerability | Ważna |
| Windows Telephony Service | CVE-2024-43626 | Windows Telephony Service Elevation of Privilege Vulnerability | Ważna |
| Windows Update Stack | CVE-2024-43530 | Windows Update Stack Elevation of Privilege Vulnerability | Ważna |
| Windows USB Video Driver | CVE-2024-43643 | Windows USB Video Class System Driver Elevation of Privilege Vulnerability | Ważna |
| Windows USB Video Driver | CVE-2024-43449 | Windows USB Video Class System Driver Elevation of Privilege Vulnerability | Ważna |
| Windows USB Video Driver | CVE-2024-43637 | Windows USB Video Class System Driver Elevation of Privilege Vulnerability | Ważna |
| Windows USB Video Driver | CVE-2024-43634 | Windows USB Video Class System Driver Elevation of Privilege Vulnerability | Ważna |
| Windows USB Video Driver | CVE-2024-43638 | Windows USB Video Class System Driver Elevation of Privilege Vulnerability | Ważna |
| Windows VMSwitch | CVE-2024-43625 | Microsoft Windows VMSwitch Elevation of Privilege Vulnerability | Krytyczna |
| Windows Win32 Kernel Subsystem | CVE-2024-49046 | Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability | Ważna |
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny