Microsoft julkaisi elokuun 2024 Patch Tuesday -päivitykset, joissa korjataan kriittisiä tietoturva-aukkoja yhtiön ohjelmistotuotteissa. Tämän kuukauden päivityksissä on mukana korjauksia 89 haavoittuvuuteen, joista erityisen huomionarvoisia ovat kuusi aktiivisesti hyödynnettyä nollapäivähaavoittuvuutta sekä kolme julkisesti paljastettua haavoittuvuutta. Näiden haavoittuvuuksien vakavuus näkyy niiden korkeassa CVSSv3.1-pisteytyksessä, joka on 9.8, mikä osoittaa, että kyseessä on vakava riski haavoittuville järjestelmille.
Keskeiset korjatut haavoittuvuudet
Merkittävimpiä korjattuja haavoittuvuuksia ovat muun muassa:
- CVE-2024-38178: Scripting Engine Memory Corruption -haavoittuvuus, joka voi johtaa etäkäytön mahdollistavaan koodin suorittamiseen, jos todennettu käyttäjä klikkaa haitallista linkkiä Microsoft Edgen Internet Explorer -tilassa. Vaikka haavoittuvuutta on vaikea hyödyntää, sitä on aktiivisesti käytetty, erityisesti Etelä-Koreassa.
- CVE-2024-38193: Windows Ancillary Function Driver for WinSock -oikeuksien korotus -haavoittuvuus, joka antaa hyökkääjille mahdollisuuden saada SYSTEM-tason oikeudet. Tämän haavoittuvuuden löysivät Gen Digitalin tutkijat, mutta Microsoft ei ole julkaissut tarkempia tietoja sen hyödyntämisestä.
- CVE-2024-38213: Windows Mark of the Web -turvaominaisuuden ohitus, jonka avulla hyökkääjät voivat luoda tiedostoja, jotka kiertävät Windowsin turvavaroitukset. Tämä ominaisuus on ollut toistuvasti hyökkäysten kohteena, erityisesti tietojenkalastelukampanjoissa.
- CVE-2024-38106 ja CVE-2024-38107: Molemmat haavoittuvuudet liittyvät Windows Kernelin ja Power Dependency Coordinatorin oikeuksien korotukseen, mikä mahdollistaa hyökkääjien saada SYSTEM-tason oikeudet. Näiden haavoittuvuuksien hyödyntäminen vaatii kilpailutilanteen (”race condition”) voittamista, mikä on vaativa mutta merkittävä hyökkäystapa.
- CVE-2024-38189: Microsoft Project -etäkäytön mahdollistava koodin suorittamisen haavoittuvuus, joka edellyttää tietoturvaominaisuuksien poistamista käytöstä. Hyökkääjät voivat käyttää tietojenkalastelutekniikoita saadakseen käyttäjät avaamaan haitallisia tiedostoja.
Julkisesti paljastetut haavoittuvuudet
Neljän haavoittuvuuden tiedot on julkistettu julkisesti, mukaan lukien:
- CVE-2024-38199: Windows Line Printer Daemon (LPD) -palvelun etäkäytön mahdollistava koodin suorittamisen haavoittuvuus. Hyökkääjä voi hyödyntää haavoittuvuutta lähettämällä räätälöidyn tulostustyön haavoittuvaan palvelimeen, mikä voi johtaa koodin suorittamiseen etänä.
- CVE-2024-21302: Secure Kernel Mode -oikeuksien korotus -haavoittuvuus, joka paljastettiin Black Hat 2024 -konferenssissa ”Windows Downdate” -hyökkäyksen yhteydessä. Tämä hyökkäys voi poistaa päivitykset täysin päivitetyiltä Windows 10-, Windows 11- ja Windows Server -järjestelmiltä ja palauttaa vanhat haavoittuvuudet.
- CVE-2024-38200: Microsoft Office -huijaushaavoittuvuus, joka altistaa NTLM-hajautukset hyökkääjille, kun käyttäjää huijataan avaamaan haitallinen tiedosto. Tämä ongelma käsiteltiin Defcon-konferenssissa ”NTLM – The last ride” -esityksessä.
- CVE-2024-38202: Windows Update Stack -oikeuksien korotus -haavoittuvuus, joka liittyy myös Windows Downdate -hyökkäykseen. Microsoft kehittää edelleen tähän uhkaan liittyvää tietoturvapäivitystä, joka ei ole vielä saatavilla.
Suositukset
Koska nämä haavoittuvuudet aiheuttavat merkittävän riskin, on tärkeää, että organisaatiot asentavat päivitykset välittömästi. Mahdollisuus saada SYSTEM-tason oikeudet ja suorittaa koodia etänä korostaa nopean toiminnan tärkeyttä. Lisäksi organisaatioiden tulisi olla valppaita odottaessaan lopullista päivitystä, joka liittyy Windows Downdate -hyökkäykseen, varmistaakseen kattavan suojan.
Lisätietoja näistä haavoittuvuuksista ja pääsy päivityksiin löytyy Microsoftin virallisesta elokuun 2024 tietoturvapäivitysoppaasta.
