Em novembro 2024 Atualização do Patch Tuesday, A Microsoft abordou 90 vulnerabilidades de segurança, incluindo dois exploits críticos de dia zero atualmente sendo explorados ativamente na natureza (CVE-2024-49039 e CVE-2024-49039). Esta atualização também inclui correções para problemas que afetam o Windows NT LAN Manager (NTLM) e Agendador de Tarefas.
Visão geral de novembro 2024 patch Tuesday
Fora de 90 vulnerabilidades corrigidas isso patch Tuesday, quatro são categorizados como Críticos, 85 tão importante, e um como Moderado. A atualização deste mês se concentra na execução remota de código (RCE) vulnerabilidades, com 52 RCE problemas corrigidos. As principais vulnerabilidades incluem:
- CVE-2024-43451 – Uma vulnerabilidade de divulgação de hash NTLM
- CVE-2024-49039 – Uma vulnerabilidade de escalonamento de privilégios do Agendador de Tarefas.
Essas atualizações são essenciais, dada a exploração ativa de duas vulnerabilidades específicas, levantando preocupações significativas para empresas em todo o mundo.
Vulnerabilidades ativamente exploradas
1. CVE-2024-43451 (Vulnerabilidade de falsificação de divulgação de hash NTLM do Windows)
- Pontuação CVSS: 6.5
- Descrição: Esta vulnerabilidade expõe o hash NTLMv2 de um usuário a um invasor, permitindo que o invasor potencialmente personifique o usuário.
- Descoberta: Creditado a Israel Yeshurun da ClearSky, essa falha representa o terceiro problema de divulgação de hash NTLM neste ano, seguindo vulnerabilidades semelhantes corrigidas em fevereiro e julho.
- Implicações: Os hashes NTLMv2 divulgados permitem que invasores obtenham acesso não autorizado e se movam lateralmente dentro de uma rede, aumentando o risco de violações mais amplas.
2. CVE-2024-49039 (Vulnerabilidade de elevação de privilégio do Agendador de tarefas do Windows)
- Pontuação CVSS: 8.8
- Descrição: Ao explorar esta vulnerabilidade, um invasor pode executar funções RPC restritas, ganhando privilégios escalonados.
- Requisitos para Exploração: Um invasor autenticado precisaria executar um aplicativo criado em um sistema de destino, elevando seus privilégios a um Nível de Integridade Médio.
- Contribuidores: Esta falha foi relatada por membros do Grupo de Análise de Ameaças do Google e sugere possível exploração por ameaças persistentes avançadas (APT) grupos, possivelmente alinhado com atores do estado-nação.
Os EUA. Agência de Segurança Cibernética e Infraestrutura (CISA) adicionou essas vulnerabilidades graves às suas Vulnerabilidades Exploradas Conhecidas (KEV) Catálogo.
Vulnerabilidades notáveis adicionais
CVE-2024-49019 – Escalonamento de privilégios de serviços de certificado do Active Directory
- Pontuação CVSS: 7.8
- Apelido: EKUwu
- Risco: Esta vulnerabilidade de dia zero, enquanto não explorado ativamente, pode conceder privilégios de administrador de domínio aos invasores por meio de escalonamento de privilégios.
CVE-2024-43498 – RCE crítico em .NET e Visual Studio
- Pontuação CVSS: 9.8
- Risco: Esta vulnerabilidade RCE pode ser acionada por uma solicitação especialmente criada para um aplicativo ou arquivo da web .NET vulnerável, permitindo execução remota de código sem autenticação.
CVE-2024-43639 – Falha do protocolo criptográfico Kerberos do Windows
- Pontuação CVSS: 9.8
- Descrição: Uma vulnerabilidade de protocolo criptográfico no Windows Kerberos que permite ataques RCE, tornando-o um dos patches mais críticos deste mês para a segurança da rede.
CVE-2024-43602 – Azure CycleCloud RCE
- Pontuação CVSS: 9.9
- Risco: Esta vulnerabilidade permite que invasores com permissões básicas aumentem os privilégios para o nível root, tornando-o um patch de alta prioridade para organizações que usam o Azure CycleCloud para gerenciamento de nuvem.
Além dessas vulnerabilidades, A Microsoft corrigiu uma falha de execução remota de código no OpenSSL (CVE-2024-5535) originalmente corrigido pelo OpenSSL em junho 2024. Isso destaca a colaboração contínua entre fornecedores de tecnologia para abordar vulnerabilidades em ecossistemas.
Estrutura de aconselhamento de segurança comum (CSAF) Também anunciado
A Microsoft também anunciou seu compromisso de adotar o Common Security Advisory Framework (CSAF). Como um padrão OASIS, O CSAF permite avisos legíveis por máquina que podem melhorar os tempos de resposta e simplificar o gerenciamento automatizado de vulnerabilidades para empresas. Embora os avisos tradicionais de CVE permaneçam, Os arquivos CSAF adicionam outra camada de transparência, especialmente importante para organizações que gerenciam um ecossistema de software em larga escala, incluindo componentes de código aberto.
Pensamentos finais
Novembro da Microsoft 2024 O Patch Tuesday destaca a natureza crítica das atualizações regulares de software para proteção contra ameaças emergentes. As vulnerabilidades abordadas neste mês, particularmente os dois exploits de dia zero, enfatizar a importância da rápida implantação de patches de segurança em todos os sistemas e aplicativos da Microsoft.