Witold Kepinski - 10 juli 2024

Trend Micro belicht Patch Tuesday updates van Microsoft en Adobe

We zijn net voorbij het halverwege punt van 2024 en zoals verwacht hebben Microsoft en Adobe hun regelmatig geplande updates uitgebracht. Trend Micro belicht de details van deze nieuwste beveiligingswaarschuwingen. Als u liever de volledige videosamenvatting van de hele release bekijkt, kunt u deze op deze website bekijken.

Adobe-patches voor juli 2024

Adobe heeft in juli drie patches uitgebracht die zeven CVE's aanpakken in Adobe Premiere Pro, InDesign en Adobe Bridge. De patch voor InDesign is de grootste en repareert vier CVE's met de Critical-classificatie. Alle vier konden leiden tot willekeurige code-uitvoering. De fix voor Premiere Pro repareert één CVE die kon leiden tot willekeurige code-uitvoering. Tot slot repareert de fix voor Bridge één bug met de Critical-classificatie en één bug met de Important-classificatie. De bug met de Critical-classificatie kon leiden tot code-uitvoering, terwijl de andere bug een geheugenlek is. Na zo'n enorme Adobe-release vorige maand, is het fijn om deze maand een kleinere te zien.

Geen van de bugs die Adobe deze maand heeft opgelost, zijn vermeld als openbaar bekend of actief aangevallen op het moment van release. Adobe categoriseert deze updates als een implementatieprioriteitsclassificatie van 3.

Microsoft-patches voor juli 2024

Deze maand bracht Microsoft maar liefst 139 nieuwe CVE's uit in Windows en Windows Components; Office en Office Components; .NET en Visual Studio; Azure; Defender voor IoT; SQL Server; Windows Hyper-V; Bitlocker en Secure(?) Boot; Remote Desktop; en Xbox (ja, Xbox!). Als je de CVE's van derden die deze maand worden gedocumenteerd, meerekent, komt het aantal CVE's op 142. Een van deze gevallen kwam via het ZDI-programma.

Van de patches die vandaag zijn uitgebracht, zijn er vijf geclassificeerd als Critical, 133 als Important en drie als Moderate in severity. Deze release is weer een enorme hoop fixes van Redmond, net onder het record van 147 CVE's van april dit jaar.

Twee van deze CVE's worden vermeld als publiekelijk bekend, waarvan er één een update van derden is die nu wordt geïntegreerd in Microsoft-producten. Twee andere bugs worden vermeld als actief aangevallen. 

Updates

Laten we eens wat dieper ingaan op enkele van de interessantere updates van deze maand, te beginnen met de kwetsbaarheden die momenteel worden uitgebuit:

- CVE-2024-38080 – Windows Hyper-V Elevation of Privilege Vulnerability
Deze kwetsbaarheid kan een geverifieerde bedreigingsactor in staat stellen om code uit te voeren met SYSTEM privileges. Hoewel Microsoft dit niet specifiek vermeldt, gaan we uit van het worstcasescenario en stellen we dat een geautoriseerde gebruiker zich op een gastbesturingssysteem zou kunnen bevinden. Microsoft geeft ook niet aan hoe wijdverbreid de exploit is, maar deze exploit zou erg handig zijn voor ransomware. Als u Hyper-V gebruikt, test en implementeer deze update dan snel.

- CVE-2024-38112 – Windows MSHTML Platform Spoofing Kwetsbaarheid
Deze bug wordt vermeld als "Spoofing" voor de impact, maar het is niet duidelijk wat er precies wordt gespoofd. Microsoft heeft deze formulering in het verleden gebruikt voor NTLM-relay-aanvallen, maar dat lijkt hier onwaarschijnlijk. Gezien de onderzoeker die dit aan Microsoft heeft gemeld, zullen we waarschijnlijk binnenkort aanvullende analyses van hen zien. Het goede nieuws is dat een gebruiker op een link moet klikken om getroffen te worden. Het slechte nieuws is dat gebruikers op alles klikken.

- CVE-2024-38077 – Windows Remote Desktop Licensing Service kwetsbaarheid voor uitvoering van code op afstand
Dit is een van de drie Remote Desktop Licensing RCE's die deze maand worden opgelost, en ze hebben allemaal een CVSS-classificatie van 9,8. Exploitatie hiervan zou eenvoudig moeten zijn, aangezien elke niet-geverifieerde gebruiker zijn code kan uitvoeren door simpelweg een kwaadaardig bericht naar een getroffen server te sturen. Als tijdelijke oplossing kunt u de Licensing Service uitschakelen, maar als u deze uitvoert, hebt u deze waarschijnlijk nodig. Ik zou er ook voor zorgen dat deze servers niet adresseerbaar zijn voor internet. Als een aantal van deze servers met internet zijn verbonden, verwacht ik binnenkort exploitatie. Dit is ook een goed moment om uw servers te controleren om er zeker van te zijn dat ze geen onnodige services uitvoeren.

- CVE-2024-38060 – Kwetsbaarheid voor uitvoering van externe code in Microsoft Windows Codecs Library
Deze bug vereist dat de aanvaller wordt geauthenticeerd, maar elke geauthenticeerde gebruiker kan er misbruik van maken. Het vereist gewoon dat een geauthenticeerde gebruiker een speciaal vervaardigde TIFF-afbeelding uploadt naar een getroffen systeem. Dit zou een handige methode zijn voor laterale beweging zodra een eerste voet aan de grond is. Er zijn ook geen tijdelijke oplossingen, dus test en implementeer de patch snel.

- CVE-2024-38023 – Microsoft SharePoint Server Remote Code Execution Vulnerability
Deze kwetsbaarheid vereist ook authenticatie, maar elke SharePoint-gebruiker met Site Owner-machtigingen kan deze kwetsbaarheid krijgen. De standaardconfiguratie van SharePoint staat echter geverifieerde gebruikers toe om sites te maken. Daarom ben ik het niet eens met de CVSS-beoordeling van Microsoft hier. Door "Privileges Required" te wijzigen van hoog naar laag, gaat het van een 7,2 naar (IMHO) het meer accurate 8,8. We hebben in het verleden over dit type bug geblogd . Dit type bug is in het verleden uitgebuit, dus als u SharePoint gebruikt, negeer of stel de implementatie van deze oplossing dan niet uit.

Hier is de volledige lijst met CVE's die Microsoft voor juli 2024 heeft uitgebracht:

DSD 28/11/2024 t/m 26/12/2024 BN + BW Vooruit 09/12/2024 t/m 16//12/2024 BW
Schneider Electric 11/12/2024 t/m 18/12/2024 BN + BW

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!