Kwetsbaarheden verholpen in Microsoft Windows

Deze pagina zet de platte tekst van officiële advisories automatisch om naar HTML. Hierbij kan mogelijk informatie verloren gaan. De Signed PGP-versies zijn leidend.
Publicatie Kans Schade    
  Versie 1.01 27-08-2024 NCSC-2024-0334  
 
medium
high
Signed-PGP →
CSAF →
PDF →
 
27-08-2024
medium
high
NCSC-2024-0334 [1.01] Signed-PGP →
Text, CSAF (sig), PDF
Kenmerken

Kenmerken

  • NULL Pointer Dereference
  • Improper Neutralization of Special Elements
  • External Control of File Name or Path
  • Buffer Over-read
  • Out-of-bounds Read
  • Untrusted Pointer Dereference
  • Observable Timing Discrepancy
  • Improper Input Validation
  • Integer Overflow or Wraparound
  • Numeric Truncation Error
  • Heap-based Buffer Overflow
  • Sensitive Data Storage in Improperly Locked Memory
  • Time-of-check Time-of-use (TOCTOU) Race Condition
  • Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')
  • Access of Resource Using Incompatible Type ('Type Confusion')
  • Improper Access Control
  • Missing Authentication for Critical Function
  • Use of Uninitialized Resource
  • Insufficient Verification of Data Authenticity
  • Out-of-bounds Write
  • Integer Underflow (Wrap or Wraparound)
  • Protection Mechanism Failure
  • Use After Free
Omschrijving

Omschrijving

Microsoft heeft kwetsbaarheden verholpen in Windows.
Microsoft heeft kwetsbaarheden verholpen in Windows. Een kwaadwillende kan de kwetsbaarheden misbruiken om aanvallen uit te voeren die kunnen leiden tot de volgende categorieën schade:

Denial-of-Service
Omzeilen van beveiligingsmaatregel
Manipuleren van gegevens
Verkrijgen van verhoogde rechten
Spoofing
Uitvoeren van willekeurige code (root/administrator rechten) Uitvoeren van willekeurige code (Gebruikersrechten) Toegang tot systeemgegevens

Van de kwetsbaarheden met kenmerk CVE-2024-38106, CVE-2024-38107, CVE-2024-38178 en CVE-2024-38193 geeft Microsoft aan informatie te hebben dat deze actief zijn misbruikt. De kwetsbaarheden met kenmerk CVE-2024-38106, CVE-2024-38107 en CVE-2024-38193 bevinden zich respectievelijk in de Kernel, de Power Dependency Coördinator en de Ancillary Function Driver for WinSock en stellen een lokale, geauthenticeerde kwaadwillende in staat om zich verhoogde rechten toe te kennen en code uit te voeren met SYSTEM rechten. De kwetsbaarheid met kenmerk CVE-2024-38178 bevindt zich in de Scripting Engine en stelt een kwaadwillende in staat om willekeurige code uit te voeren met rechten van het slachtoffer. Succesvol misbruik vereist wel dat de kwaadwillende het slachtoffer misleidt om de Edge browser in 'Internet Explorer mode' laat draaien. Van de genoemde kwetsbaarheden is geen publieke Proof-of-Concept-code of exploit beschikbaar. Het vermoeden van het NCSC is echter dat deze wel op korte termijn publiek beschikbaar zal komen. Grootschalig actief misbruik is minder waarschijnlijk, vanwege de beperkende voorwaarden van misbruik. De ernstigste kwetsbaarheid heeft kenmerk CVE-2024-38063 toegewezen gekregen en bevindt zich in de wijze waarop Windows het IPv6 Protocol verwerkt. Een kwaadwillende kan zonder voorafgaande authenticatie op afstand willekeurige code uitvoeren op het kwetsbare systeem door het herhaaldelijk verzenden van speciaal geprepareerde IPv6 packets. IPv6 is standaard actief. Onderzoekers hebben Proof-of-Concept-code (PoC) gepubliceerd waarmee de kwetsbaarheid kan worden aangetoond. De PoC code vereist dat het doelwit onder controle is van de onderzoeker en veroorzaakt op dit moment hooguit een memory corruption wat resulteert in een crash van het systeem. Uitvoer van willekeurige code wordt niet bereikt. De kans op grootschalig misbruik wordt hiermee groter, maar door de beperkende voorwaarde om de PoC werkend te krijgen is deze PoC niet zondermeer grootschalig op internet in te zetten. Microsoft is niet op de hoogte dat de kwetsbaarheid actief wordt misbruikt. Microsoft adviseert om als mitigerende maatregel IPv6 uit te schakelen indien dit niet strikt noodzakelijk is. De kwetsbaarheden met kenmerk CVE-2024-21302 en CVE-2024-38202 zijn op de laatste BlackHat Conference gepubliceerd door de onderzoeker die ze ontdekt heeft. Deze kwetsbaarheden worden in de gegevens van deze maandelijkse update wel genoemd, maar in deze update worden ze niet verholpen. Microsoft geeft aan nog aan een oplossing te werken en heeft wel mitigerende maatregelen gepubliceerd, om de dreiging van misbruik zo goed als mogelijk te beperken. Zie hiervoor de referenties naar de specifieke kwetsbaarheid. De kwetsbaarheden stellen een kwaadwillende in staat om een roll-back uit te voeren van geïnstalleerde updates en zo het systeem weer kwetsbaar te maken voor oudere kwetsbaarheden, zonder dat dit ontdekt kan worden door het systeem. Voor het slachtoffer blijft het systeem voldoen aan de laatste beveiligingsupdates. Succesvol misbruik is niet eenvoudig en vereist dat de kwaadwillende over verhoogde rechten beschikt op het kwetsbare systeem. Actief misbruik zal dus vermoedelijk een volgende stap in een keten zijn door een kwaadwillende die op andere wijze toegang heeft gekregen tot het kwetsbare systeem en deze kwetsbaarheden gebruikt om permanente toegang te garanderen. ``` Windows Mark of the Web (MOTW):

CVE-IDCVSSImpact
CVE-2024-382136.50Omzeilen van beveiligingsmaatregel
Windows Compressed Folder:
CVE-IDCVSSImpact
CVE-2024-381656.50Manipuleren van gegevens
Windows Update Stack:
CVE-IDCVSSImpact
CVE-2024-381637.80Verkrijgen van verhoogde rechten
CVE-2024-382027.30Verkrijgen van verhoogde rechten
Microsoft Windows DNS:
CVE-IDCVSSImpact
CVE-2024-379687.50Voordoen als andere gebruiker
Windows Mobile Broadband:
CVE-IDCVSSImpact
CVE-2024-381616.80Uitvoeren van willekeurige code
Windows Ancillary Function Driver for WinSock:
CVE-IDCVSSImpact
CVE-2024-381937.80Verkrijgen van verhoogde rechten
CVE-2024-381417.80Verkrijgen van verhoogde rechten
Windows IP Routing Management Snapin:
CVE-IDCVSSImpact
CVE-2024-381148.80Uitvoeren van willekeurige code
CVE-2024-381158.80Uitvoeren van willekeurige code
CVE-2024-381168.80Uitvoeren van willekeurige code
Windows Kernel:
CVE-IDCVSSImpact
CVE-2024-381067.00Verkrijgen van verhoogde rechten
CVE-2024-381277.80Verkrijgen van verhoogde rechten
CVE-2024-381337.80Verkrijgen van verhoogde rechten
CVE-2024-381515.50Toegang tot gevoelige gegevens
CVE-2024-381537.80Verkrijgen van verhoogde rechten
Windows Secure Boot:
CVE-IDCVSSImpact
CVE-2022-26018.60Omzeilen van beveiligingsmaatregel
CVE-2023-405478.30Omzeilen van beveiligingsmaatregel
CVE-2022-37757.10Uitvoeren van willekeurige code
Windows Kernel-Mode Drivers:
CVE-IDCVSSImpact
CVE-2024-381847.80Verkrijgen van verhoogde rechten
CVE-2024-381917.80Verkrijgen van verhoogde rechten
CVE-2024-381857.80Verkrijgen van verhoogde rechten
CVE-2024-381867.80Verkrijgen van verhoogde rechten
CVE-2024-381877.80Verkrijgen van verhoogde rechten
Windows Print Spooler Components:
CVE-IDCVSSImpact
CVE-2024-381987.50Verkrijgen van verhoogde rechten
Windows Power Dependency Coordinator:
CVE-IDCVSSImpact
CVE-2024-381077.80Verkrijgen van verhoogde rechten
Windows SmartScreen:
CVE-IDCVSSImpact
CVE-2024-381808.80Uitvoeren van willekeurige code
Windows Initial Machine Configuration:
CVE-IDCVSSImpact
CVE-2024-382236.80Verkrijgen van verhoogde rechten
Line Printer Daemon Service (LPD):
CVE-IDCVSSImpact
CVE-2024-381999.80Uitvoeren van willekeurige code
Microsoft Streaming Service:
CVE-IDCVSSImpact
CVE-2024-381257.80Verkrijgen van verhoogde rechten
CVE-2024-381347.80Verkrijgen van verhoogde rechten
CVE-2024-381448.80Verkrijgen van verhoogde rechten
Windows Kerberos:
CVE-IDCVSSImpact
CVE-2024-299958.10Verkrijgen van verhoogde rechten
Windows Security Center:
CVE-IDCVSSImpact
CVE-2024-381555.50Toegang tot gevoelige gegevens
Windows Scripting:
CVE-IDCVSSImpact
CVE-2024-381787.50Uitvoeren van willekeurige code
Microsoft Local Security Authority Server (lsasrv):
CVE-IDCVSSImpact
CVE-2024-381185.50Toegang tot gevoelige gegevens
CVE-2024-381225.50Toegang tot gevoelige gegevens
Windows NTFS:
CVE-IDCVSSImpact
CVE-2024-381177.80Verkrijgen van verhoogde rechten
Windows Routing and Remote Access Service (RRAS):
CVE-IDCVSSImpact
CVE-2024-381218.80Uitvoeren van willekeurige code
CVE-2024-381288.80Uitvoeren van willekeurige code
CVE-2024-381308.80Uitvoeren van willekeurige code
CVE-2024-381548.80Uitvoeren van willekeurige code
CVE-2024-381208.80Uitvoeren van willekeurige code
CVE-2024-382146.50Toegang tot gevoelige gegevens
Windows WLAN Auto Config Service:
CVE-IDCVSSImpact
CVE-2024-381434.20Verkrijgen van verhoogde rechten
Windows NT OS Kernel:
CVE-IDCVSSImpact
CVE-2024-381357.80Verkrijgen van verhoogde rechten
Windows Network Address Translation (NAT):
CVE-IDCVSSImpact
CVE-2024-381267.50Denial-of-Service
CVE-2024-381327.50Denial-of-Service
Windows Resource Manager:
CVE-IDCVSSImpact
CVE-2024-381367.00Verkrijgen van verhoogde rechten
CVE-2024-381377.00Verkrijgen van verhoogde rechten
Windows Common Log File System Driver:
CVE-IDCVSSImpact
CVE-2024-381967.80Verkrijgen van verhoogde rechten
Windows Transport Security Layer (TLS):
CVE-IDCVSSImpact
CVE-2024-381487.50Denial-of-Service
Windows Secure Kernel Mode:
CVE-IDCVSSImpact
CVE-2024-213026.70Verkrijgen van verhoogde rechten
CVE-2024-381427.80Verkrijgen van verhoogde rechten
Reliable Multicast Transport Driver (RMCAST):
CVE-IDCVSSImpact
CVE-2024-381409.80Uitvoeren van willekeurige code
Microsoft Bluetooth Driver:
CVE-IDCVSSImpact
CVE-2024-381234.40Toegang tot gevoelige gegevens
Windows TCP/IP:
CVE-IDCVSSImpact
CVE-2024-380639.80Uitvoeren van willekeurige code
Windows Cloud Files Mini Filter Driver:
CVE-IDCVSSImpact
CVE-2024-382157.80Verkrijgen van verhoogde rechten
Windows DWM Core Library:
CVE-IDCVSSImpact
CVE-2024-381477.80Verkrijgen van verhoogde rechten
CVE-2024-381507.80Verkrijgen van verhoogde rechten
Windows Clipboard Virtual Channel Extension:
CVE-IDCVSSImpact
CVE-2024-381318.80Uitvoeren van willekeurige code
Windows Network Virtualization:
CVE-IDCVSSImpact
CVE-2024-381599.10Uitvoeren van willekeurige code
CVE-2024-381609.10Uitvoeren van willekeurige code
Windows Deployment Services:
CVE-IDCVSSImpact
CVE-2024-381387.50Uitvoeren van willekeurige code
Microsoft WDAC OLE DB provider for SQL:
CVE-IDCVSSImpact
CVE-2024-381527.80Uitvoeren van willekeurige code
Windows Layer-2 Bridge Network Driver:
CVE-IDCVSSImpact
CVE-2024-381457.50Denial-of-Service
CVE-2024-381467.50Denial-of-Service
```

Bereik

Bereik

Platforms Producten Versies

windows
windows_10
windows_10_for_32-bit_systems
windows_10_for_64-based_systems
windows_11
windows_server_2016
windows_server_2019
windows_server_2022
windows_server_2022_23h2

microsoft remote_desktop_client_for_windows_desktop
microsoft windows_10_version_1507
microsoft windows_10_version_1607
microsoft windows_10_version_1809
microsoft windows_10_version_21h2
microsoft windows_10_version_22h2
microsoft windows_11_version_21h2
microsoft windows_11_version_22h2
microsoft windows_11_version_22h3
microsoft windows_11_version_23h2
microsoft windows_11_version_24h2
microsoft windows_server_2008__service_pack_2
microsoft windows_server_2008_r2_service_pack_1
microsoft windows_server_2008_r2_service_pack_1__server_core_installation_ microsoft windows_server_2008_service_pack_2 microsoft windows_server_2008_service_pack_2__server_core_installation_ microsoft windows_server_2012 microsoft windows_server_2012__server_core_installation_ microsoft windows_server_2012_r2 microsoft windows_server_2012_r2__server_core_installation_ microsoft windows_server_2016 microsoft windows_server_2016__server_core_installation_ microsoft windows_server_2019 microsoft windows_server_2019__server_core_installation_ microsoft windows_server_2022 microsoft windows_server_2022__23h2_edition__server_core_installation_

1.2.0.0 - 10.0.0 - n_a - 10.0.0 - n_a - 10.0.0 - n_a - 10.0.0 - n_a - 10.0.0 - n_a - 10.0.0 - n_a - 10.0.0 - n_a - 10.0.0 - n_a - 10.0.0 - n_a - 10.0.0 - n_a - 6.0.0 - 6.0.0 - 6.1.0 - 6.0.0 - 6.0.0 - 6.2.0 - 6.3.0 - 6.3.0 - 6.2.0 - 10.0.0 - n_a - 10.0.0 - n_a - 10.0.0 - n_a - 10.0.0 - n_a - 10.0.0 - n_a - 10.0.0 - n_a

Oplossingen

Oplossingen

Microsoft heeft updates beschikbaar gesteld waarmee de beschreven kwetsbaarheden worden verholpen. Ook zijn mitigerende maatregelen gepubliceerd om de kans op misbruik te beperken voor die kwetsbaarheden waarvoor (nog) geen update beschikbaar is. We raden u aan om deze updates te installeren. Meer informatie over de kwetsbaarheden, de installatie van de updates en eventuele work-arounds [Link] [Link] [Link] [Link]

CVE’s

CVE’s

CVE-2022-2601, CVE-2022-3775, CVE-2023-40547, CVE-2024-21302, CVE-2024-29995, CVE-2024-37968, CVE-2024-38063, CVE-2024-38106, CVE-2024-38107, CVE-2024-38114, CVE-2024-38115, CVE-2024-38116, CVE-2024-38117, CVE-2024-38118, CVE-2024-38120, CVE-2024-38121, CVE-2024-38122, CVE-2024-38123, CVE-2024-38125, CVE-2024-38126, CVE-2024-38127, CVE-2024-38128, CVE-2024-38130, CVE-2024-38131, CVE-2024-38132, CVE-2024-38133, CVE-2024-38134, CVE-2024-38135, CVE-2024-38136, CVE-2024-38137, CVE-2024-38138, CVE-2024-38140, CVE-2024-38141, CVE-2024-38142, CVE-2024-38143, CVE-2024-38144, CVE-2024-38145, CVE-2024-38146, CVE-2024-38147, CVE-2024-38148, CVE-2024-38150, CVE-2024-38151, CVE-2024-38152, CVE-2024-38153, CVE-2024-38154, CVE-2024-38155, CVE-2024-38159, CVE-2024-38160, CVE-2024-38161, CVE-2024-38165, CVE-2024-38178, CVE-2024-38180, CVE-2024-38184, CVE-2024-38185, CVE-2024-38186, CVE-2024-38187, CVE-2024-38191, CVE-2024-38193, CVE-2024-38196, CVE-2024-38198, CVE-2024-38199, CVE-2024-38202, CVE-2024-38213, CVE-2024-38214, CVE-2024-38215, CVE-2024-38223

  Versie 1.01 27-08-2024 NCSC-2024-0334  
 
medium
high
Signed-PGP →
CSAF →
PDF →
 
27-08-2024
medium
high
NCSC-2024-0334 [1.01] Signed-PGP →
Text, CSAF (sig), PDF
Update

Update

Er is Proof-of-Concept-code (PoC) verschenen voor de kwetsbaarheid met kenmerk CVE-2024-38063

  Versie 1.00 13-08-2024 NCSC-2024-0334  
 
medium
high
Signed-PGP →
CSAF →
PDF →
 
13-08-2024
medium
high
NCSC-2024-0334 [1.00] Signed-PGP →
Text, CSAF (sig), PDF

Vrijwaringsverklaring

Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies.
Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding.