Firma Microsoft 10 grudnia 2024 r. wydała poprawki usuwające ponad 70 luk w zabezpieczeniach, w tym aktywnie wykorzystywaną lukę dnia zerowego w systemie Windows Common Log File System (CLFS). Celem łat jest zwiększenie bezpieczeństwa różnych komponentów systemu operacyjnego w obliczu rosnących zagrożeń cybernetycznych.
Microsoft udostępnia łaty na ponad 70 luk w zabezpieczeniach, w tym na lukę dnia zerowego
Luka zero-day, zidentyfikowana jako CVE-2024-49138ma ocenę ważności CVSS 7,8 na 10. Odkryta przez CrowdStrike, umożliwia atakującym eskalację swoich uprawnień do SYSTEMU poprzez przepełnienie bufora opartego na stercie, wymagając minimalnych uprawnień i zerowej interakcji użytkownika w celu wykorzystania. Firma Microsoft nie udostępniła jednak wskaźników naruszenia ani danych telemetrycznych pomocnych w identyfikacji systemów, których dotyczy problem.
Gigant oprogramowania poinformował, że w ciągu ostatnich pięciu lat udokumentowano co najmniej 25 luk w zabezpieczeniach CLFS. Na początku tego roku Microsoft ogłosił plany wzmocnienia zabezpieczeń systemu CLFS za pomocą kodów uwierzytelniania wiadomości opartych na skrótach (HMAC) w celu ochrony przed nieautoryzowanymi zmianami w plikach dziennika, które są celem zaawansowanych trwałych zagrożeń (APT) i exploitów ransomware.
Wśród grudniowych łatek Microsoft wyróżnił także kluczowe poprawki związane z atakiem szybkiego resetowania HTTP/2, oznaczonym jako CVE-2023-44487które były wykorzystywane w szeroko zakrojonych kampaniach typu „odmowa usługi”. Łatka, która została pierwotnie załatana w październiku 2024 r., zachęca użytkowników do zainstalowania dostępnych aktualizacji w celu zabezpieczenia swoich systemów.
Aktualizacja usuwa co najmniej 16 luk o krytycznym znaczeniu w różnych komponentach systemu Windows. W szczególności firma Microsoft zaleciła natychmiastowe podjęcie działań w związku z luką w zabezpieczeniach systemu Windows LDAP umożliwiającą zdalne wykonanie kodu (CVE-2024-49112), co stwarza ryzyko krytyczne z wynikiem CVSS wynoszącym 9,8. Luka ta umożliwia nieuwierzytelnionym atakującym wykonanie dowolnego kodu za pośrednictwem specjalnie spreparowanych wywołań LDAP. W ramach strategii łagodzącej firma Microsoft zaleca tymczasowe odłączenie kontrolerów domeny od Internetu.
Inne istotne luki w grudniowej wersji obejmują błędy w zdalnym wykonywaniu kodu między gościem a hostem w Windows Hyper-V oraz krytyczne luki w zabezpieczeniach RCE wpływające na Usługi pulpitu zdalnego systemu Windows. Ponadto naprawiono dwa główne problemy w usłudze Microsoft Message Queuing (MSMQ) i krytyczną lukę RCE w projekcie Microsoft/Muzic AI.
Według inicjatywy Zero Day Initiative (ZDI) Microsoft w 2024 r. opublikował łaty łącznie dla 1020 luk w zabezpieczeniach, z czego 27 zostało udokumentowanych jako ataki dnia zerowego wymierzone w ekosystem Windows firmy Microsoft w tym roku.
Krajobraz bezpieczeństwa pozostaje napięty ze względu na trwające dochodzenia w sprawie różnych luk w zabezpieczeniach, w tym funkcji scentralizowanego rejestrowania. W miarę rozwoju sytuacji pilną potrzebę, aby użytkownicy byli na bieżąco z łatkami Microsoftu, podkreśla ciągłe wykorzystywanie kilku powszechnie występujących luk.
Łatanie wrażliwych komponentów systemu Windows
Wydarzenie z okazji wtorkowej aktualizacji z grudnia 2024 r. oznacza krytyczne wysiłki firmy Microsoft mające na celu usunięcie licznych luk w zabezpieczeniach, które mogą narazić systemy. Warto zauważyć, że seria aktualizacji obejmuje poprawki dla różnych usług i aplikacji systemu Windows, które są intensywnie wykorzystywane w organizacjach.
Łatki eliminowały luki w zabezpieczeniach aplikacji takich jak Microsoft Office i Microsoft Edge, a także podstawowe luki w zabezpieczeniach systemu operacyjnego. Na przykład CVE-2024-49063 dotyczy luki umożliwiającej zdalne wykonanie kodu na platformie Microsoft/Muzic, a CVE-2024-49057 dotyczy usługi Microsoft Defender for Endpoint na Androidzie.
Inne godne uwagi luki obejmują wiele luk powiązanych z protokołem Windows Lightweight Directory Access Protocol (CVE-2024-49112, CVE-2024-49121, CVE-2024-49124), z których każda ma krytyczną ocenę ważności. Luki te umożliwiają potencjalne zdalne wykonanie kodu lub scenariusze odmowy usługi, które mogą poważnie wpłynąć na działanie sieci.
Ponadto różne komponenty, takie jak Windows Mobile Broadband i PrintWorkflowUserSvc, również zostały dotknięte lukami w zabezpieczeniach naprawionymi w tej partii aktualizacji, co podkreśla szeroki zakres problemów, które firma Microsoft musi stale monitorować i łatać.
Autor wyróżnionego obrazu: Microsoft 365/Unsplash
