Kwetsbaarheden verholpen in Microsoft Windows
Deze pagina zet de platte tekst van officiële advisories automatisch
om naar HTML. Hierbij kan mogelijk informatie verloren gaan. De Signed
PGP-versies zijn leidend.
| Publicatie |
Kans |
Schade |
|
|
| |
Versie 1.01 |
27-08-2024 |
NCSC-2024-0334 |
|
| |
medium
|
high
|
Signed-PGP →
CSAF →
PDF →
|
|
| 27-08-2024 |
medium
|
high
|
NCSC-2024-0334 [1.01] |
Signed-PGP →
Text,
CSAF
(sig),
PDF
|
| Kenmerken |
Kenmerken
- NULL Pointer Dereference
- Improper Neutralization of Special Elements
- External Control of File Name or Path
- Buffer Over-read
- Out-of-bounds Read
- Untrusted Pointer Dereference
- Observable Timing Discrepancy
- Improper Input Validation
- Integer Overflow or Wraparound
- Numeric Truncation Error
- Heap-based Buffer Overflow
- Sensitive Data Storage in Improperly Locked Memory
- Time-of-check Time-of-use (TOCTOU) Race Condition
- Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')
- Access of Resource Using Incompatible Type ('Type Confusion')
- Improper Access Control
- Missing Authentication for Critical Function
- Use of Uninitialized Resource
- Insufficient Verification of Data Authenticity
- Out-of-bounds Write
- Integer Underflow (Wrap or Wraparound)
- Protection Mechanism Failure
- Use After Free
|
| Omschrijving |
Omschrijving
Microsoft heeft kwetsbaarheden verholpen in Windows.
Microsoft heeft kwetsbaarheden verholpen in Windows. Een kwaadwillende kan de kwetsbaarheden misbruiken om aanvallen uit te voeren die kunnen leiden tot de volgende categorieën schade:
Denial-of-Service
Omzeilen van beveiligingsmaatregel
Manipuleren van gegevens
Verkrijgen van verhoogde rechten
Spoofing
Uitvoeren van willekeurige code (root/administrator rechten) Uitvoeren van willekeurige code (Gebruikersrechten) Toegang tot systeemgegevens
Van de kwetsbaarheden met kenmerk CVE-2024-38106, CVE-2024-38107, CVE-2024-38178 en CVE-2024-38193 geeft Microsoft aan informatie te hebben dat deze actief zijn misbruikt. De kwetsbaarheden met kenmerk CVE-2024-38106, CVE-2024-38107 en CVE-2024-38193 bevinden zich respectievelijk in de Kernel, de Power Dependency Coördinator en de Ancillary Function Driver for WinSock en stellen een lokale, geauthenticeerde kwaadwillende in staat om zich verhoogde rechten toe te kennen en code uit te voeren met SYSTEM rechten. De kwetsbaarheid met kenmerk CVE-2024-38178 bevindt zich in de Scripting Engine en stelt een kwaadwillende in staat om willekeurige code uit te voeren met rechten van het slachtoffer. Succesvol misbruik vereist wel dat de kwaadwillende het slachtoffer misleidt om de Edge browser in 'Internet Explorer mode' laat draaien. Van de genoemde kwetsbaarheden is geen publieke Proof-of-Concept-code of exploit beschikbaar. Het vermoeden van het NCSC is echter dat deze wel op korte termijn publiek beschikbaar zal komen. Grootschalig actief misbruik is minder waarschijnlijk, vanwege de beperkende voorwaarden van misbruik. De ernstigste kwetsbaarheid heeft kenmerk CVE-2024-38063 toegewezen gekregen en bevindt zich in de wijze waarop Windows het IPv6 Protocol verwerkt. Een kwaadwillende kan zonder voorafgaande authenticatie op afstand willekeurige code uitvoeren op het kwetsbare systeem door het herhaaldelijk verzenden van speciaal geprepareerde IPv6 packets. IPv6 is standaard actief. Onderzoekers hebben Proof-of-Concept-code (PoC) gepubliceerd waarmee de kwetsbaarheid kan worden aangetoond. De PoC code vereist dat het doelwit onder controle is van de onderzoeker en veroorzaakt op dit moment hooguit een memory corruption wat resulteert in een crash van het systeem. Uitvoer van willekeurige code wordt niet bereikt. De kans op grootschalig misbruik wordt hiermee groter, maar door de beperkende voorwaarde om de PoC werkend te krijgen is deze PoC niet zondermeer grootschalig op internet in te zetten. Microsoft is niet op de hoogte dat de kwetsbaarheid actief wordt misbruikt. Microsoft adviseert om als mitigerende maatregel IPv6 uit te schakelen indien dit niet strikt noodzakelijk is. De kwetsbaarheden met kenmerk CVE-2024-21302 en CVE-2024-38202 zijn op de laatste BlackHat Conference gepubliceerd door de onderzoeker die ze ontdekt heeft. Deze kwetsbaarheden worden in de gegevens van deze maandelijkse update wel genoemd, maar in deze update worden ze niet verholpen. Microsoft geeft aan nog aan een oplossing te werken en heeft wel mitigerende maatregelen gepubliceerd, om de dreiging van misbruik zo goed als mogelijk te beperken. Zie hiervoor de referenties naar de specifieke kwetsbaarheid. De kwetsbaarheden stellen een kwaadwillende in staat om een roll-back uit te voeren van geïnstalleerde updates en zo het systeem weer kwetsbaar te maken voor oudere kwetsbaarheden, zonder dat dit ontdekt kan worden door het systeem. Voor het slachtoffer blijft het systeem voldoen aan de laatste beveiligingsupdates. Succesvol misbruik is niet eenvoudig en vereist dat de kwaadwillende over verhoogde rechten beschikt op het kwetsbare systeem. Actief misbruik zal dus vermoedelijk een volgende stap in een keten zijn door een kwaadwillende die op andere wijze toegang heeft gekregen tot het kwetsbare systeem en deze kwetsbaarheden gebruikt om permanente toegang te garanderen.
```
Windows Mark of the Web (MOTW):
Windows Compressed Folder:
Windows Update Stack:
Microsoft Windows DNS:
Windows Mobile Broadband:
Windows Ancillary Function Driver for WinSock:
Windows IP Routing Management Snapin:
Windows Kernel:
Windows Secure Boot:
Windows Kernel-Mode Drivers:
Windows Print Spooler Components:
Windows Power Dependency Coordinator:
Windows SmartScreen:
Windows Initial Machine Configuration:
Line Printer Daemon Service (LPD):
Microsoft Streaming Service:
Windows Kerberos:
Windows Security Center:
Windows Scripting:
Microsoft Local Security Authority Server (lsasrv):
Windows NTFS:
Windows Routing and Remote Access Service (RRAS):
Windows WLAN Auto Config Service:
Windows NT OS Kernel:
Windows Network Address Translation (NAT):
Windows Resource Manager:
Windows Common Log File System Driver:
Windows Transport Security Layer (TLS):
Windows Secure Kernel Mode:
Reliable Multicast Transport Driver (RMCAST):
Microsoft Bluetooth Driver:
Windows TCP/IP:
Windows Cloud Files Mini Filter Driver:
Windows DWM Core Library:
Windows Clipboard Virtual Channel Extension:
Windows Network Virtualization:
Windows Deployment Services:
Microsoft WDAC OLE DB provider for SQL:
Windows Layer-2 Bridge Network Driver:
```
|
| Bereik |
Bereik
| Platforms |
Producten |
Versies |
windows
windows_10
windows_10_for_32-bit_systems
windows_10_for_64-based_systems
windows_11
windows_server_2016
windows_server_2019
windows_server_2022
windows_server_2022_23h2
|
microsoft remote_desktop_client_for_windows_desktop
microsoft windows_10_version_1507
microsoft windows_10_version_1607
microsoft windows_10_version_1809
microsoft windows_10_version_21h2
microsoft windows_10_version_22h2
microsoft windows_11_version_21h2
microsoft windows_11_version_22h2
microsoft windows_11_version_22h3
microsoft windows_11_version_23h2
microsoft windows_11_version_24h2
microsoft windows_server_2008__service_pack_2
microsoft windows_server_2008_r2_service_pack_1
microsoft windows_server_2008_r2_service_pack_1__server_core_installation_ microsoft windows_server_2008_service_pack_2 microsoft windows_server_2008_service_pack_2__server_core_installation_ microsoft windows_server_2012 microsoft windows_server_2012__server_core_installation_ microsoft windows_server_2012_r2 microsoft windows_server_2012_r2__server_core_installation_ microsoft windows_server_2016 microsoft windows_server_2016__server_core_installation_ microsoft windows_server_2019 microsoft windows_server_2019__server_core_installation_ microsoft windows_server_2022 microsoft windows_server_2022__23h2_edition__server_core_installation_
|
1.2.0.0 - 10.0.0 - n_a - 10.0.0 - n_a - 10.0.0 - n_a - 10.0.0 - n_a - 10.0.0 - n_a - 10.0.0 - n_a - 10.0.0 - n_a - 10.0.0 - n_a - 10.0.0 - n_a - 10.0.0 - n_a - 6.0.0 - 6.0.0 - 6.1.0 - 6.0.0 - 6.0.0 - 6.2.0 - 6.3.0 - 6.3.0 - 6.2.0 - 10.0.0 - n_a - 10.0.0 - n_a - 10.0.0 - n_a - 10.0.0 - n_a - 10.0.0 - n_a - 10.0.0 - n_a
|
|
| Oplossingen |
Oplossingen
Microsoft heeft updates beschikbaar gesteld waarmee de beschreven kwetsbaarheden worden verholpen. Ook zijn mitigerende maatregelen gepubliceerd om de kans op misbruik te beperken voor die kwetsbaarheden waarvoor (nog) geen update beschikbaar is. We raden u aan om deze updates te installeren. Meer informatie over de kwetsbaarheden, de installatie van de updates en eventuele work-arounds [Link] [Link] [Link] [Link]
|
| CVE’s |
CVE’s
CVE-2022-2601, CVE-2022-3775, CVE-2023-40547, CVE-2024-21302, CVE-2024-29995, CVE-2024-37968, CVE-2024-38063, CVE-2024-38106, CVE-2024-38107, CVE-2024-38114, CVE-2024-38115, CVE-2024-38116, CVE-2024-38117, CVE-2024-38118, CVE-2024-38120, CVE-2024-38121, CVE-2024-38122, CVE-2024-38123, CVE-2024-38125, CVE-2024-38126, CVE-2024-38127, CVE-2024-38128, CVE-2024-38130, CVE-2024-38131, CVE-2024-38132, CVE-2024-38133, CVE-2024-38134, CVE-2024-38135, CVE-2024-38136, CVE-2024-38137, CVE-2024-38138, CVE-2024-38140, CVE-2024-38141, CVE-2024-38142, CVE-2024-38143, CVE-2024-38144, CVE-2024-38145, CVE-2024-38146, CVE-2024-38147, CVE-2024-38148, CVE-2024-38150, CVE-2024-38151, CVE-2024-38152, CVE-2024-38153, CVE-2024-38154, CVE-2024-38155, CVE-2024-38159, CVE-2024-38160, CVE-2024-38161, CVE-2024-38165, CVE-2024-38178, CVE-2024-38180, CVE-2024-38184, CVE-2024-38185, CVE-2024-38186, CVE-2024-38187, CVE-2024-38191, CVE-2024-38193, CVE-2024-38196, CVE-2024-38198, CVE-2024-38199, CVE-2024-38202, CVE-2024-38213, CVE-2024-38214, CVE-2024-38215, CVE-2024-38223
|
| |
Versie 1.01 |
27-08-2024 |
NCSC-2024-0334 |
|
| |
medium
|
high
|
Signed-PGP →
CSAF →
PDF →
|
|
| 27-08-2024 |
medium
|
high
|
NCSC-2024-0334 [1.01] |
Signed-PGP →
Text,
CSAF
(sig),
PDF
|
| Update |
Update
Er is Proof-of-Concept-code (PoC) verschenen voor de kwetsbaarheid met kenmerk CVE-2024-38063
|
| |
Versie 1.00 |
13-08-2024 |
NCSC-2024-0334 |
|
| |
medium
|
high
|
Signed-PGP →
CSAF →
PDF →
|
|
| 13-08-2024 |
medium
|
high
|
NCSC-2024-0334 [1.00] |
Signed-PGP →
Text,
CSAF
(sig),
PDF
|
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor enige schade
ten gevolge van het gebruik of de onmogelijkheid van het gebruik
van dit beveiligingsadvies, waaronder begrepen schade ten gevolge
van de onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies.
Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle
geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies
zullen worden voorgelegd aan de exclusief bevoegde rechter te Den
Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in
kort geding.
