วันนี้เป็นวัน Patch Tuesday ของไมโครซอฟท์สำหรับเดือนพฤศจิกายน 2024 ซึ่งมีการออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ทั้งหมด 91 รายการ รวมถึงช่องโหว่ Zero-day 4 รายการ โดยมี 2 รายการที่กำลังถูกโจมตีอย่างต่อเนื่องในปัจจุบัน
การอัปเดตครั้งนี้ได้แก้ไขช่องโหว่ที่มีความเสี่ยงสูง 4 รายการ ซึ่งแบ่งออกเป็น 2 ช่องโหว่ประเภทการเรียกใช้งานโค้ดจากระยะไกล (Remote Code Execution) และ 2 ช่องโหว่การยกระดับสิทธิ์ (Elevation of Privileges)
จำนวนข้อบกพร่องในแต่ละประเภทของช่องโหว่มีดังนี้:
- ช่องโหว่การยกระดับสิทธิ์ (Elevation of Privilege): 26 รายการ
- ช่องโหว่ข้ามผ่านฟีเจอร์ความปลอดภัย (Security Feature Bypass): 2 รายการ
- ช่องโหว่การเรียกใช้งานโค้ดจากระยะไกล (Remote Code Execution): 52 รายการ
- ช่องโหว่การเปิดเผยข้อมูล (Information Disclosure): 1 รายการ
- ช่องโหว่การปฏิเสธการให้บริการ (Denial of Service): 4 รายการ
- ช่องโหว่การปลอมแปลง (Spoofing): 3 รายการ
Windows 11 KB5046617 Link
Windows 10 KB5046613 Link
ช่องโหว่ Zero-day ที่ถูกเปิดเผย 4 รายการ
การอัปเดต Patch Tuesday ในเดือนนี้ได้แก้ไขช่องโหว่ Zero-day จำนวน 4 รายการ โดยมี 2 รายการที่ถูกโจมตีอย่างต่อเนื่องในปัจจุบัน และ 3 รายการที่ถูกเปิดเผยต่อสาธารณะแล้ว
ไมโครซอฟท์กำหนดว่าช่องโหว่ Zero-day คือช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะหรือถูกโจมตีในขณะที่ยังไม่มีการแก้ไขอย่างเป็นทางการ
ช่องโหว่ Zero-day 2 รายการที่ถูกโจมตีอย่างต่อเนื่องในวันนี้ ได้แก่:
- CVE-2024-43451 - ช่องโหว่การปลอมแปลงเพื่อเปิดเผยแฮช NTLM
ไมโครซอฟท์ได้แก้ไขช่องโหว่ที่ทำให้แฮช NTLM ของผู้ใช้สามารถถูกเปิดเผยต่อผู้โจมตีจากระยะไกลได้ โดยที่ผู้ใช้มีปฏิสัมพันธ์กับไฟล์ที่เป็นอันตรายน้อยมาก
"ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึงแฮช NTLMv2 ของผู้ใช้ ซึ่งสามารถใช้เพื่อยืนยันตัวตนในนามของผู้ใช้ได้" ไมโครซอฟท์อธิบาย "เพียงแค่ผู้ใช้คลิกเลือก (คลิกเดียว), ตรวจสอบ (คลิกขวา), หรือกระทำการอื่นใดโดยไม่จำเป็นต้องเปิดหรือเรียกใช้ ก็สามารถกระตุ้นให้เกิดช่องโหว่นี้ได้" ไมโครซอฟท์กล่าวต่อ
ไมโครซอฟท์ระบุว่า Israel Yeshurun จาก ClearSky Cyber Security เป็นผู้ค้นพบช่องโหว่นี้ และได้มีการเปิดเผยต่อสาธารณะ แต่ไม่มีการเปิดเผยรายละเอียดเพิ่มเติม
- CVE-2024-49039 - ช่องโหว่การยกระดับสิทธิ์ใน Windows Task Scheduler
ช่องโหว่นี้ทำให้แอปพลิเคชันที่ถูกออกแบบพิเศษสามารถถูกเรียกใช้งานเพื่อยกระดับสิทธิ์ขึ้นเป็นระดับ Medium Integrity ได้"ในกรณีนี้ การโจมตีที่ประสบความสำเร็จสามารถทำได้จาก AppContainer ที่มีสิทธิ์ต่ำ ผู้โจมตีสามารถยกระดับสิทธิ์ของตนและรันโค้ดหรือเข้าถึงทรัพยากรที่มีระดับความสมบูรณ์สูงกว่า AppContainer" ไมโครซอฟท์อธิบายไมโครซอฟท์ระบุว่า การใช้ประโยชน์จากช่องโหว่นี้จะทำให้ผู้โจมตีสามารถรันฟังก์ชัน RPC ที่ปกติแล้วจำกัดเฉพาะบัญชีที่มีสิทธิ์สูงได้
ช่องโหว่นี้ถูกค้นพบโดย Vlad Stolyarov และ Bahare Sabouri จากทีมวิเคราะห์ภัยคุกคามของ Google (Google's Threat Analysis Group) ยังไม่ทราบว่าช่องโหว่นี้ถูกโจมตีในลักษณะใด
ช่องโหว่อีก 3 รายการที่ถูกเปิดเผยต่อสาธารณะ แต่ยังไม่ถูกนำไปใช้ในการโจมตี ได้แก่:
- CVE-2024-49040 - ช่องโหว่การปลอมแปลงใน Microsoft Exchange Server
ไมโครซอฟท์ได้แก้ไขช่องโหว่ใน Microsoft Exchange ที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถปลอมแปลงที่อยู่อีเมลของผู้ส่งในอีเมลที่ส่งถึงผู้รับภายในเครือข่ายได้
"ไมโครซอฟท์ทราบถึงช่องโหว่ (CVE-2024-49040) ที่ช่วยให้ผู้โจมตีสามารถโจมตีด้วยการปลอมแปลงบน Microsoft Exchange Server ได้" ตามที่มีการอธิบายในคำแนะนำที่เกี่ยวข้องของไมโครซอฟท์
ช่องโหว่นี้เกิดจากการตรวจสอบส่วนหัว P2 FROM ในกระบวนการส่งอีเมลที่ยังไม่มีการป้องกันอย่างเหมาะสม
เริ่มตั้งแต่อัปเดตด้านความปลอดภัยของ Microsoft Exchange ในเดือนนี้ ไมโครซอฟท์จะเริ่มตรวจจับและติดธงเตือนอีเมลที่มีการปลอมแปลง พร้อมทั้งแสดงข้อความเตือนในเนื้อหาอีเมลที่ระบุว่า "Notice: This email appears to be suspicious. Do not trust the information, links, or attachments in this email without verifying the source through a trusted method."
ไมโครซอฟท์ระบุว่าช่องโหว่นี้ถูกค้นพบโดย Slonser จาก Solidlab ซึ่งได้เปิดเผยช่องโหว่นี้ต่อสาธารณะในบทความ (https://blog.slonser.info/posts/email-attacks/)
- CVE-2024-49019 - ช่องโหว่การยกระดับสิทธิ์ใน Active Directory Certificate Services
ไมโครซอฟท์ได้แก้ไขช่องโหว่ที่ช่วยให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็นผู้ดูแลโดเมนได้ โดยใช้ประโยชน์จากเทมเพลตใบรับรองรุ่น 1 ที่มีอยู่ในระบบ
"ตรวจสอบว่าคุณได้เผยแพร่ใบรับรองที่สร้างขึ้นโดยใช้เทมเพลตใบรับรองรุ่น 1 ที่ตั้งค่า Source of subject name เป็น 'Supplied in the request' และกำหนดสิทธิ์การลงทะเบียน (Enroll permissions) ให้กับกลุ่มบัญชีผู้ใช้ที่กว้างกว่า เช่น ผู้ใช้หรือคอมพิวเตอร์ในโดเมน" ไมโครซอฟท์อธิบาย
"ตัวอย่างเช่น เทมเพลต Web Server ที่มีอยู่ในระบบ แต่จะไม่เกิดช่องโหว่โดยค่าเริ่มต้นเนื่องจากสิทธิ์การลงทะเบียนที่จำกัด"
ช่องโหว่นี้ถูกค้นพบโดย Lou Scicchitano, Scot Berner, และ Justin Bollinger จาก TrustedSec ซึ่งได้เปิดเผยช่องโหว่ที่เรียกว่า "EKUwu" ในเดือนตุลาคม
"โดยการใช้เทมเพลตใบรับรองรุ่น 1 ที่มีอยู่ ผู้โจมตีสามารถสร้าง CSR ที่รวมถึงนโยบายการใช้งานที่ถูกต้องและมีสิทธิพิเศษกว่า Extended Key Usage ที่กำหนดในเทมเพลต" รายงานของ TrustedSec ระบุ
"สิ่งที่จำเป็นคือสิทธิ์การลงทะเบียนเท่านั้น และช่องโหว่นี้สามารถใช้ในการสร้างใบรับรองสำหรับการยืนยันตัวตนของไคลเอนต์, การร้องขอใบรับรองโดยเอเจนต์, และการลงนามโค้ดโดยใช้เทมเพลต WebServer"
ในรายการที่ 3 ช่องโหว่ CVE-2024-43451 ก็ได้ถูกเปิดเผยต่อสาธารณะเช่นกัน แต่ยังไม่มีรายละเอียดใด ๆ
การอัปเดตล่าสุดจากบริษัทอื่น ๆ
บริษัทอื่น ๆ ที่ได้ปล่อยอัปเดตหรือคำแนะนำด้านความปลอดภัยในเดือนพฤศจิกายน 2024 ได้แก่:
- Adobe ได้ปล่อยอัปเดตความปลอดภัยสำหรับแอปพลิเคชันหลายรายการ รวมถึง Photoshop, Illustrator, และ Commerce
- Cisco ได้ออกอัปเดตความปลอดภัยสำหรับหลายผลิตภัณฑ์ เช่น โทรศัพท์ Cisco, Nexus Dashboard, Identity Services Engine และอื่น ๆ
- Citrix ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ใน NetScaler ADC และ NetScaler Gateway รวมถึงอัปเดตสำหรับ Citrix Virtual Apps และ Desktops ซึ่งรายงานโดย Watchtowr
- Dell ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ที่เกี่ยวกับการเรียกใช้งานโค้ดและการข้ามการตรวจสอบในระบบปฏิบัติการ SONiC OS
- D-Link ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ร้ายแรงใน DSL6740C ซึ่งช่วยให้สามารถแก้ไขรหัสผ่านของบัญชีได้
- Google ได้ปล่อย Chrome เวอร์ชัน 131 ซึ่งรวมถึงการแก้ไขช่องโหว่ด้านความปลอดภัย 12 รายการ โดยไม่มี Zero-day
- Ivanti ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ 25 รายการใน Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS), และ Ivanti Secure Access Client (ISAC)
- SAP ได้ปล่อยอัปเดตความปลอดภัยสำหรับหลายผลิตภัณฑ์ในวัน Patch Day ของเดือนพฤศจิกายน
- Schneider Electric ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ในผลิตภัณฑ์ Modicon M340, Momentum, และ MC80
- Siemens ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ร้ายแรง 10/10 ใน TeleControl Server Basic ซึ่งติดตามได้ด้วยรหัส CVE-2024-44102
ด้านล่างนี้คือรายการช่องโหว่ทั้งหมดที่ได้รับการแก้ไขในการอัปเดต Patch Tuesday เดือนพฤศจิกายน 2024 หากต้องการเข้าถึงคำอธิบายฉบับเต็มของแต่ละช่องโหว่และระบบที่ได้รับผลกระทบ สามารถดูรายงานฉบับเต็มได้ที่นี่
| Tag | CVE ID | CVE Title | Severity |
|---|---|---|---|
| .NET and Visual Studio | CVE-2024-43499 | .NET and Visual Studio Denial of Service Vulnerability | Important |
| .NET and Visual Studio | CVE-2024-43498 | .NET and Visual Studio Remote Code Execution Vulnerability | Critical |
| Airlift.microsoft.com | CVE-2024-49056 | Airlift.microsoft.com Elevation of Privilege Vulnerability | Critical |
| Azure CycleCloud | CVE-2024-43602 | Azure CycleCloud Remote Code Execution Vulnerability | Important |
| LightGBM | CVE-2024-43598 | LightGBM Remote Code Execution Vulnerability | Important |
| Microsoft Defender for Endpoint | CVE-2024-5535 | OpenSSL: CVE-2024-5535 SSL_select_next_proto buffer overread | Important |
| Microsoft Edge (Chromium-based) | CVE-2024-10826 | Chromium: CVE-2024-10826 Use after free in Family Experiences | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2024-10827 | Chromium: CVE-2024-10827 Use after free in Serial | Unknown |
| Microsoft Exchange Server | CVE-2024-49040 | Microsoft Exchange Server Spoofing Vulnerability | Important |
| Microsoft Graphics Component | CVE-2024-49031 | Microsoft Office Graphics Remote Code Execution Vulnerability | Important |
| Microsoft Graphics Component | CVE-2024-49032 | Microsoft Office Graphics Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2024-49029 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2024-49026 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2024-49027 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2024-49028 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2024-49030 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office SharePoint | ADV240001 | Microsoft SharePoint Server Defense in Depth Update | None |
| Microsoft Office Word | CVE-2024-49033 | Microsoft Word Security Feature Bypass Vulnerability | Important |
| Microsoft PC Manager | CVE-2024-49051 | Microsoft PC Manager Elevation of Privilege Vulnerability | Important |
| Microsoft Virtual Hard Drive | CVE-2024-38264 | Microsoft Virtual Hard Disk (VHDX) Denial of Service Vulnerability | Important |
| Microsoft Windows DNS | CVE-2024-43450 | Windows DNS Spoofing Vulnerability | Important |
| Role: Windows Active Directory Certificate Services | CVE-2024-49019 | Active Directory Certificate Services Elevation of Privilege Vulnerability | Important |
| Role: Windows Hyper-V | CVE-2024-43633 | Windows Hyper-V Denial of Service Vulnerability | Important |
| Role: Windows Hyper-V | CVE-2024-43624 | Windows Hyper-V Shared Virtual Disk Elevation of Privilege Vulnerability | Important |
| SQL Server | CVE-2024-48998 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-48997 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-48993 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49001 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49000 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-48999 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49043 | Microsoft.SqlServer.XEvent.Configuration.dll Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-43462 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-48995 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-48994 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-38255 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-48996 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-43459 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49002 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49013 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49014 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49011 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49012 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49015 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49018 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49021 | Microsoft SQL Server Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49016 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49017 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49010 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49005 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49007 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49003 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49004 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49006 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49009 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| SQL Server | CVE-2024-49008 | SQL Server Native Client Remote Code Execution Vulnerability | Important |
| TorchGeo | CVE-2024-49048 | TorchGeo Remote Code Execution Vulnerability | Important |
| Visual Studio | CVE-2024-49044 | Visual Studio Elevation of Privilege Vulnerability | Important |
| Visual Studio Code | CVE-2024-49050 | Visual Studio Code Python Extension Remote Code Execution Vulnerability | Important |
| Visual Studio Code | CVE-2024-49049 | Visual Studio Code Remote Extension Elevation of Privilege Vulnerability | Moderate |
| Windows CSC Service | CVE-2024-43644 | Windows Client-Side Caching Elevation of Privilege Vulnerability | Important |
| Windows Defender Application Control (WDAC) | CVE-2024-43645 | Windows Defender Application Control (WDAC) Security Feature Bypass Vulnerability | Important |
| Windows DWM Core Library | CVE-2024-43636 | Win32k Elevation of Privilege Vulnerability | Important |
| Windows DWM Core Library | CVE-2024-43629 | Windows DWM Core Library Elevation of Privilege Vulnerability | Important |
| Windows Kerberos | CVE-2024-43639 | Windows Kerberos Remote Code Execution Vulnerability | Critical |
| Windows Kernel | CVE-2024-43630 | Windows Kernel Elevation of Privilege Vulnerability | Important |
| Windows NT OS Kernel | CVE-2024-43623 | Windows NT OS Kernel Elevation of Privilege Vulnerability | Important |
| Windows NTLM | CVE-2024-43451 | NTLM Hash Disclosure Spoofing Vulnerability | Important |
| Windows Package Library Manager | CVE-2024-38203 | Windows Package Library Manager Information Disclosure Vulnerability | Important |
| Windows Registry | CVE-2024-43641 | Windows Registry Elevation of Privilege Vulnerability | Important |
| Windows Registry | CVE-2024-43452 | Windows Registry Elevation of Privilege Vulnerability | Important |
| Windows Secure Kernel Mode | CVE-2024-43631 | Windows Secure Kernel Mode Elevation of Privilege Vulnerability | Important |
| Windows Secure Kernel Mode | CVE-2024-43646 | Windows Secure Kernel Mode Elevation of Privilege Vulnerability | Important |
| Windows Secure Kernel Mode | CVE-2024-43640 | Windows Kernel-Mode Driver Elevation of Privilege Vulnerability | Important |
| Windows SMB | CVE-2024-43642 | Windows SMB Denial of Service Vulnerability | Important |
| Windows SMBv3 Client/Server | CVE-2024-43447 | Windows SMBv3 Server Remote Code Execution Vulnerability | Important |
| Windows Task Scheduler | CVE-2024-49039 | Windows Task Scheduler Elevation of Privilege Vulnerability | Important |
| Windows Telephony Service | CVE-2024-43628 | Windows Telephony Service Remote Code Execution Vulnerability | Important |
| Windows Telephony Service | CVE-2024-43621 | Windows Telephony Service Remote Code Execution Vulnerability | Important |
| Windows Telephony Service | CVE-2024-43620 | Windows Telephony Service Remote Code Execution Vulnerability | Important |
| Windows Telephony Service | CVE-2024-43627 | Windows Telephony Service Remote Code Execution Vulnerability | Important |
| Windows Telephony Service | CVE-2024-43635 | Windows Telephony Service Remote Code Execution Vulnerability | Important |
| Windows Telephony Service | CVE-2024-43622 | Windows Telephony Service Remote Code Execution Vulnerability | Important |
| Windows Telephony Service | CVE-2024-43626 | Windows Telephony Service Elevation of Privilege Vulnerability | Important |
| Windows Update Stack | CVE-2024-43530 | Windows Update Stack Elevation of Privilege Vulnerability | Important |
| Windows USB Video Driver | CVE-2024-43643 | Windows USB Video Class System Driver Elevation of Privilege Vulnerability | Important |
| Windows USB Video Driver | CVE-2024-43449 | Windows USB Video Class System Driver Elevation of Privilege Vulnerability | Important |
| Windows USB Video Driver | CVE-2024-43637 | Windows USB Video Class System Driver Elevation of Privilege Vulnerability | Important |
| Windows USB Video Driver | CVE-2024-43634 | Windows USB Video Class System Driver Elevation of Privilege Vulnerability | Important |
| Windows USB Video Driver | CVE-2024-43638 | Windows USB Video Class System Driver Elevation of Privilege Vulnerability | Important |
| Windows VMSwitch | CVE-2024-43625 | Microsoft Windows VMSwitch Elevation of Privilege Vulnerability | Critical |
| Windows Win32 Kernel Subsystem | CVE-2024-49046 | Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability | Important |
Ref : bleepingcomputer.com
ไม่มีความคิดเห็น:
แสดงความคิดเห็น