Microsoft wydał cztery zdalne luki w zabezpieczeniach kodu poprawki w aktualizacji Patch Tuesday z września 2024 r., którą oznaczono jako krytyczną, co oznacza, że luki w zabezpieczeniach są już dostępne.
Wydano również trzy krytyczne poprawki bezpieczeństwa usuwające luki w zabezpieczeniach umożliwiające podniesienie uprawnień.
Oprócz wszystkich bieżących wydań systemów operacyjnych, Microsoft powiedział, że musi dostarczyć poprawki dla wersji 24H2 systemu Windows 11, która ma być gotowa pod koniec tego roku. Powiedział, że osoby kupujące nowe komputery CoPilot+ będą musiały zastosować poprawki z Patch Tuesday, aby mieć pewność, że ich urządzenie pozostanie w pełni chronione.
Wśród błędów związanych z podwyższonymi uprawnieniami znajduje się CVE-2024-38014, który dotyczy Windows Installer, komponentu systemu operacyjnego Windows, który umożliwia użytkownikom instalowanie i odinstalowywanie oprogramowania. Wada oznacza, że atakujący może uzyskać uprawnienia systemowe po pomyślnym wykorzystaniu luki i skutecznie przejąć kontrolę nad maszyną.
Kolejna krytyczna luka w systemie Windows, CVE-2024-43491, wpływa na funkcjonalność usługi Windows Update. Według firmy ochroniarskiej Qualysta luka w zabezpieczeniach stosu umożliwia atakującemu zdalne wykonanie kodu.
Choć jest to znana luka w zabezpieczeniach, firma Microsoft poinformowała, że wycofała już poprawki niektórych luk w zabezpieczeniach, które miały wpływ na opcjonalne składniki w systemie Windows 10 w wersji 1507 (pierwsza wersja została wydana w lipcu 2015 r.).
Qualys powiedział, że oznacza to, że atakujący może wykorzystać te wcześniej złagodzone luki w zabezpieczeniach w systemach Windows 10, wersja 1507 (Windows 10 Enterprise 2015 LTSB i Windows 10 IoT Enterprise 2015 LTSB), w których zainstalowano aktualizację zabezpieczeń systemu Windows wydaną 12 marca lub inne aktualizacje wydane do sierpnia. Luka nie ma wpływu na późniejsze wersje systemu Windows 10.
Kolejna krytyczna poprawka (CVE-2024-38018) dotycząca luki w zabezpieczeniach zdalnego kodu dotyczy serwera Microsoft Sharepoint. Firma Microsoft poinformowała, że administratorzy SharePoint mogą napotkać pewne problemy, które będą wymagały dodatkowych obejść po zastosowaniu poprawki.
W SharePoint Enterprise Server 2016 Microsoft poinformował, że uwzględnił nowoczesne środowisko użytkownika OneDrive for Business, ale ta funkcjonalność jest dostępna tylko dla klientów Software Assurance. Oznacza to, że osoby bez Software Assurance będą musiały wyłączyć nową funkcjonalność OneDrive for Business, aby zachować zgodność z licencją Microsoft.
System Windows Network Address Translation (NAT) (CVE-2024-38119) ma również lukę w kodzie zdalnym. Według Qualys, atakujący potrzebuje dostępu do sieci, aby uruchomić udany exploit.
Wśród krytycznych luk w podnoszeniu uprawnień znajdują się dwie, które mają wpływ na Azure Stack Hub (CVE-2024-38216 i CVE-2024-38220), część Portfolio Azure Stack która umożliwia użytkownikom uruchamianie aplikacji w środowisku lokalnym i dostarczanie usług Azure w ich własnych centrach danych. Udane wykorzystanie tej luki w zabezpieczeniach może umożliwić atakującemu uzyskanie nieautoryzowanego dostępu do zasobów systemowych. Luka może również umożliwić atakującemu wykonywanie działań z takimi samymi uprawnieniami, jak naruszony proces, powiedział Qualys.
Inny błąd Azure dotyczy Azure Web Apps, które umożliwiają użytkownikom hostowanie aplikacji internetowych w różnych językach programowania, takich jak .NET, Java, Node.js, Python i PHP. Qualys powiedział, że uwierzytelniony atakujący może wykorzystać lukę w zabezpieczeniach nieprawidłowej autoryzacji w Azure Web Apps, aby podnieść uprawnienia w sieci.
Ten Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury Stanów Zjednoczonych zażądał od użytkowników załatania wszystkich luk w zabezpieczeniach systemu Windows w kategoriach aktualizacji „krytycznych” przed 1 października 2024 r.