CSIRT Toscana Aggiornamenti Mensili Microsoft (AL01/240814/CSIRT-ITA) – Aggiornamento
Data:
9 Dicembre 2024 13:00
Data di creazione: 14/08/2024 – 07:59
Sintesi
Microsoft ha rilasciato gli aggiornamenti di sicurezza mensili che risolvono un totale di 85 nuove vulnerabilità, di cui 10 di tipo 0-day.
Note: il vendor afferma che le CVE-2024-38178, CVE-2024-38193, CVE-2024-38213, CVE-2024-38106, CVE-2024-38107 e CVE-2024-38189 risultano essere sfruttate attivamente in rete.
Note: il vendor afferma che exploit per le CVE-2024-38199, CVE-2024-21302, CVE-2024-38200 e CVE-2024-38202 risultano disponibili in rete.
Note (aggiornamento del 17/09/2024): dei Proof of Concept (PoC) per lo sfruttamento delle vulnerabilità CVE-2024-38063 e CVE-2024-38189 risultano disponibile in rete.
Note (aggiornamento del 09/12/2024): un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità CVE-2024-38193 risulta disponibile in rete.
Stima d’impatto della vulnerabilità sulla comunità di riferimento: GRAVE/ROSSO (79,23/100)1.
Tipologia
- Tampering
- Information Disclosure
- Remote Code Execution
- Elevation of Privilege
- Security Feature Bypass
- Denial of Service
- Spoofing
Descrizione e potenziali impatti
Nel dettaglio le vulnerabilità sfruttate attivamente e/o per alcune delle quali risulta disponibile in rete anche un “proof of concept”, riguardano:
- Scripting Engine: identificata tramite la CVE-2024-38178, di tipo “Remote Code Execution” e con score CVSS v3 pari a 7.5. Tale vulnerabilità potrebbe essere sfruttata tramite la distribuzione di link opportunamente predisposti.
- Windows Ancillary Function Driver for WinSock: identificata tramite la CVE-2024-38193, di tipo “Elevation of Privilege” e con score CVSS v3 pari a 7.8. Tale vulnerabilità, qualora sfruttata, potrebbe permettere l’ottenimento di privilegi di tipo SYSTEM.
- Windows Line Printer Daemon (LPD) Service: identificata tramite la CVE-2024-38199, di tipo “Remote Code Execution” e con score CVSS v3 pari a 9.8. Tale vulnerabilità potrebbe essere sfruttata tramite l’invio di task di stampa opportunamente predisposti ad un servizio Windows Line Printed (LPD) condiviso.
- Windows SmartScreen: identificata tramite la CVE-2024-38213, di tipo “Security Feature Bypass” e con score CVSS v3 pari a 6.5. Tale vulnerabilità potrebbe comportare il bypass delle funzionalità di sicurezza SmartScreen tramite la distribuzione di file opportunamente predisposti.
- Windows Secure Kernel Mode: identificata tramite la CVE-2024-21302, di tipo “Elevation of Privilege” e con score CVSS v3 pari a 6.7. Tale vulnerabilità potrebbe permettere a un attaccante con privilegi di tipo amministratore la possibilità di ripristinare file di sistema obsoleti, al fine di reintrodurre vulnerabilità risolte. In attesa di una patch di sicurezza si raccomanda di implementare le azioni di mitigazione suggerite da Microsoft.
- Windows Kernel: identificata tramite la CVE-2024-38106, di tipo “Elevation of Privilege” e con score CVSS v3 pari a 7. Tale vulnerabilità potrebbe essere sfruttata tramite situazioni di race condition.
- Windows Power Dependency Coordinator: identificata tramite la CVE-2024-38107, di tipo “Elevation of Privilege” e con score CVSS v3 pari a 7.8. Tale vulnerabilità, qualora sfruttata, potrebbe permettere l’ottenimento di privilegi di tipo SYSTEM.
- Microsoft Project: identificata tramite la CVE-2024-38189, di tipo “Remote Code Execution” e con score CVSS v3 pari a 8.8. Tale vulnerabilità potrebbe essere sfruttata tramite la distribuzione di file Microsoft Office Project opportunamente predisposti.
- Windows Mark of the Web: identificata tramite la CVE-2024-38217, di tipo “Security Feature Bypass” e con score CVSS v3 pari a 5.4. Tale vulnerabilità potrebbe essere sfruttata per bypassare i meccanismi Mark of the Web (MOTW) tramite file opportunamente predisposti.
- Microsoft Office: identificata tramite la CVE-2024-38200, di tipo “Spoofing” e con score CVSS v3 pari a 7.5. Tale vulnerabilità potrebbe permettere ad un utente malevolo di generare messaggi e/o documenti opportunamente predisposti apparentemente provenienti da una fonte legittima (Spoofing).
- Windows Update Stack: identificata tramite la CVE-2024-38202, di tipo “Elevation of Privilege” e con score CVSS v3 pari a 7.3. Tale vulnerabilità, relativa a Windows Backup, potrebbe permettere ad un utente con sufficienti privilegi di reintrodurre criticità già risolte. In attesa di una patch di sicurezza si raccomanda di implementare le azioni di mitigazione suggerite da Microsoft.
Prodotti e versioni affette
- .NET and Visual Studio
- Azure Connected Machine Agent
- Azure CycleCloud
- Azure Health Bot
- Azure IoT SDK
- Azure Stack
- Line Printer Daemon Service (LPD)
- Microsoft Bluetooth Driver
- Microsoft Copilot Studio
- Microsoft Dynamics
- Microsoft Edge (Chromium-based)
- Microsoft Local Security Authority Server (lsasrv)
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office Outlook
- Microsoft Office PowerPoint
- Microsoft Office Project
- Microsoft Office Visio
- Microsoft Streaming Service
- Microsoft Teams
- Microsoft WDAC OLE DB provider for SQL
- Microsoft Windows DNS
- Reliable Multicast Transport Driver (RMCAST)
- Windows Ancillary Function Driver for WinSock
- Windows App Installer
- Windows Clipboard Virtual Channel Extension
- Windows Cloud Files Mini Filter Driver
- Windows Common Log File System Driver
- Windows Compressed Folder
- Windows Deployment Services
- Windows DWM Core Library
- Windows Initial Machine Configuration
- Windows IP Routing Management Snapin
- Windows Kerberos
- Windows Kernel
- Windows Kernel-Mode Drivers
- Windows Layer-2 Bridge Network Driver
- Windows Mark of the Web (MOTW)
- Windows Mobile Broadband
- Windows Network Address Translation (NAT)
- Windows Network Virtualization
- Windows NT OS Kernel
- Windows NTFS
- Windows Power Dependency Coordinator
- Windows Print Spooler Components
- Windows Resource Manager
- Windows Routing and Remote Access Service (RRAS)
- Windows Scripting
- Windows Secure Kernel Mode
- Windows Security Center
- Windows SmartScreen
- Windows TCP/IP
- Windows Transport Security Layer (TLS)
- Windows Update Stack
- Windows WLAN Auto Config Service
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di procedere all’aggiornamento dei prodotti impattati attraverso l’apposita funzione di Windows Update.
Identificatori univoci vulnerabilità
Riferimenti
https://msrc.microsoft.com/update-guide/releaseNote/2024-Aug
https://msrc.microsoft.com/update-guide (NB: filtro: patch tuesday – August 2024)
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.