اصلاحیه‌های امنیتی مایکروسافت – نوامبر 2024

microsoft patch tuesday

شرکت مایکروسافت در روز سه‌شنبه ۱۲ نوامبر  ۲۰۲۴ ( ۲۲ آبان ماه ۱۴۰۳) اصلاحیه‌های امنیتی ماهانه خود را منتشر کرد. این اصلاحیه شامل به‌روزرسانی‌های امنیتی برای ۸۹ نقص است که شامل چهار آسیب‌پذیری روز صفر است که دو مورد از این آسیب‌پذیری‌ها به طور فعال اکسپلویت می‌شوند.

جزئیات آسیب‌پذیری

پچ سه‌شنبه ماه نوامبر، چهار آسیب‌پذیری حیاتی شامل دو مورد اجرای کد از راه دور (RCE) و دو نقص ارتقا سطح دسترسی را برطرف می‌کند. تعداد باگ‌ها در هر رده از آسیب‌پذیری‌ها به تفکیک به شرح زیر است:

  • ۲۶ آسیب‌پذیری ارتقا سطح دسترسی
  • ۲ آسیب‌پذیری عبور از راهکارهای امنیتی
  • ۵۲ آسیب‌پذیری اجرای کد از راه دور
  • ۱ آسیب‌پذیری افشای اطلاعات
  • ۴ آسیب‌پذیری منع سرویس
  • ۳ آسیب‌پذیری جعل

📌 این تعداد شامل دو نقص Edge که قبلاً در ۷ نوامبر رفع شده بودند، نمی‌شود.

جهت کسب اطلاعات بیشتر و دریافت و نصب وصله‌های امنیتی ماه نوامبر، به سایت مایکروسافت مراجعه کنید. 

آسیب‌پذیری‌های روز صفر

پچ سه‌شنبه این ماه، چهار روز صفر را برطرف می‌کند، که دو مورد از آن‌ها به طور فعال در حملات تحت اکسپلویت قرار گرفتند و سه مورد به صورت عمومی افشا شدند.

🔴 دو آسیب‌پذیری روز صفر که به‌ طور فعال در به‌روزرسانی‌های امروزی اکسپلویت می‌شوند، عبارتند از: 

[CVE-2024-43451]

آسیب‌پذیری افشای اطلاعات NTLM Hash با شناسه CVE-2024-43451  و امتیاز (CVSS score: 6.5)

مایکروسافت یک آسیب‌پذیری را برطرف کرده است که هش‌های NTLM را با کمترین تعامل با فایلی مخرب در معرض مهاجمان راه دور قرار می‌دهد. این آسیب‌پذیری هش NTLMv2 کاربر را برای نفوذگری که می‌تواند از آن جهت احراز هویت به عنوان کاربر استفاده کند، فاش می‌کند. کمترین میزان تعامل با یک فایل مخرب توسط کاربر همانند انتخاب فایل (کلیک)، انجام عملیات بر روی فایل به واسطه (راست کلیک)، یا انجام عملی غیر از باز کردن یا اجرا می‌تواند منجر به ایجاد این آسیب‌پذیری شود.

[CVE-2024-49039]

آسیب‌پذیری ارتقا سطح دسترسی Windows Task Scheduler با شناسه CVE-2024-49039 و امتیاز (CVSS score: 8.8)

بر اساس گفته مایکروسافت: یک اپلیکیشن ساخته شده ویژه می‌تواند اجرا شود تا سطح دسترسی را به سطح یکپارچگی متوسط ​​برساند. “در این مورد، حمله موفقیت‌آمیز می‌تواند از یک AppContainer با دسترسی پایین انجام شود. نفوذگر می‌تواند سطح دسترسی خود را ارتقا دهد و کد یا منابع را در سطح یکپارچگی بالاتری نسبت به محیط اجرای AppContainer اجرا کند.” اکسپلویت این آسیب‌پذیری امکان اجرای عملکردهای RPC را که معمولاً به اکانت‌های دارای دسترسی بالا محدود می‌شوند، برای مهاجمان فراهم می‌سازد. چگونگی اکسپلویت نقص مذکور در حملات هنوز مشخص نیست.

🔴 سه آسیب‌پذیری دیگری که به صورت عمومی افشا شدند، اما در حملات اکسپلویت نشده‌اند، عبارتند از:

[CVE-2024-49040]

آسیب‌پذیری جعل Microsoft Exchange Server با شناسه CVE-2024-49040  و امتیاز  (CVSS score: 7.5)

در وصله این ماه یک آسیب‌پذیری Microsoft Exchange برطرف شده است که امکان جعل آدرس ایمیل فرستنده در ایمیل‌های دریافت‌کنندگان محلی را برای عوامل تهدید فراهم می‌سازد.  مایکروسافت تصریح کرد: آسیب‌پذیری مذکور اجرای حملات جعلی علیه Microsoft Exchange Server را برای مهاجمان امکان‌پذیر می‌کند. “این آسیب پذیری ناشی از اجرای فعلی تایید P2 FROM header است که در انتقال اتفاق می‌افتد. “با شروع به‌روزرسانی‌های امنیتی مایکروسافت Exchange این ماه، مایکروسافت اکنون ایمیل‌های جعلی را با هشداری که به body ایمیل اضافه شده است، شناسایی و پرچم‌گذاری می‌کند.

توجه: در صورتی که ایمیلی مشکوک به نظر می‌رسد، به اطلاعات، لینک‌ها یا پیوست‌های موجود در ایمیل بدون تأیید منبع با روشی مطمئن اعتماد نکنید.”

[CVE-2024-49019]

آسیب‌پذیری ارتقا سطح دسترسی در Active Directory Certificate Services با شناسه CVE-2024-49019 و امتیاز  (CVSS score: 7.8)

مایکروسافت نقصی را برطرف کرد که به مهاجمان اجازه می داد با سوء استفاده از تمپلیت‌های گواهی نسخه 1 پیش فرض داخلی، سطح دسترسی مدیر دامنه را به دست آورند. مایکروسافت اعلام کرد: بررسی کنید که آیا گواهی‌هایی را منتشر کرده‌اید که با استفاده از یک تمپلیت گواهی نسخه 1 ایجاد شده است که در آن Source of subject name روی «Supplied in the request» تنظیم شده است و مجوزهای Enroll به مجموعه گسترده‌تری از اکانت‌ها، مانند کاربران دامنه یا رایانه‌های دامنه اعطا شده است.  یک مثال، تمپلیت Web Server داخلی است، اما به دلیل مجوزهای Enroll محدود، به طور پیش‌فرض آسیب‌پذیر نیست.»

بر اساس گزارش TrustedSec: با استفاده از تمپلیت‌های گواهی پیش‌فرض نسخه 1 داخلی، مهاجم می‌تواند یک CSR ایجاد کند تا شامل سیاست‌های اپلیکیشنی باشد که بر ویژگی‌های پیکربندی شده Extended Key Usage مشخص‌ شده در تمپلیت ترجیح داده می‌شوند. “تنها شرط، حق ثبت نام است و می‌توان از آن برای ایجاد احراز هویت کلاینت، اِیجنت درخواست گواهی و گواهی‌های codesigning با استفاده از تمپلیت Web Server استفاده کرد.”

📌 چنانچه در بالا توضیح داده شد، آسیب‌پذیری CVE-2024-43451 نیز به صورت عمومی افشا شده است.

توصیه می‌شود در اسرع وقت وصله‌های امنیتی ماه نوامبر را دانلود و نصب کنید.

جزئیات مربوط به آسیب‌پذیری‌های ارائه شده در جدول زیر قابل مشاهده است:

عنوان عنوان آسیب‌پذیری ( CVE title) شناسه  آسیب‌پذیری (CVE ID) شدت
.NET and Visual Studio CVE-2024-43499 .NET and Visual Studio Denial of Service Vulnerability Important
.NET and Visual Studio CVE-2024-43498 .NET and Visual Studio Remote Code Execution Vulnerability Critical
Airlift.microsoft.com CVE-2024-49056 Airlift.microsoft.com Elevation of Privilege Vulnerability Critical
Azure CycleCloud CVE-2024-43602 Azure CycleCloud Remote Code Execution Vulnerability Important
LightGBM CVE-2024-43598 LightGBM Remote Code Execution Vulnerability Important
Microsoft Defender for Endpoint CVE-2024-5535 OpenSSL: CVE-2024-5535 SSL_select_next_proto buffer overread Important
Microsoft Edge (Chromium-based) CVE-2024-10826 Chromium: CVE-2024-10826 Use after free in Family Experiences Unknown
Microsoft Edge (Chromium-based) CVE-2024-10827 Chromium: CVE-2024-10827 Use after free in Serial Unknown
Microsoft Exchange Server CVE-2024-49040 Microsoft Exchange Server Spoofing Vulnerability Important
Microsoft Graphics Component CVE-2024-49031 Microsoft Office Graphics Remote Code Execution Vulnerability Important
Microsoft Graphics Component CVE-2024-49032 Microsoft Office Graphics Remote Code Execution Vulnerability Important
Microsoft Office Excel CVE-2024-49029 Microsoft Excel Remote Code Execution Vulnerability Important
Microsoft Office Excel CVE-2024-49026 Microsoft Excel Remote Code Execution Vulnerability Important
Microsoft Office Excel CVE-2024-49027 Microsoft Excel Remote Code Execution Vulnerability Important
Microsoft Office Excel CVE-2024-49028 Microsoft Excel Remote Code Execution Vulnerability Important
Microsoft Office Excel CVE-2024-49030 Microsoft Excel Remote Code Execution Vulnerability Important
Microsoft Office SharePoint ADV240001 Microsoft SharePoint Server Defense in Depth Update None
Microsoft Office Word CVE-2024-49033 Microsoft Word Security Feature Bypass Vulnerability Important
Microsoft PC Manager CVE-2024-49051 Microsoft PC Manager Elevation of Privilege Vulnerability Important
Microsoft Virtual Hard Drive CVE-2024-38264 Microsoft Virtual Hard Disk (VHDX) Denial of Service Vulnerability Important
Microsoft Windows DNS CVE-2024-43450 Windows DNS Spoofing Vulnerability Important
Role: Windows Active Directory Certificate Services CVE-2024-49019 Active Directory Certificate Services Elevation of Privilege Vulnerability Important
Role: Windows Hyper-V CVE-2024-43633 Windows Hyper-V Denial of Service Vulnerability Important
Role: Windows Hyper-V CVE-2024-43624 Windows Hyper-V Shared Virtual Disk Elevation of Privilege Vulnerability Important
SQL Server CVE-2024-48998 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-48997 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-48993 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-49001 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-49000 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-48999 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-49043 Microsoft.SqlServer.XEvent.Configuration.dll Remote Code Execution Vulnerability Important
SQL Server CVE-2024-43462 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-48995 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-48994 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-38255 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-48996 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-43459 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-49002 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-49013 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-49014 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-49011 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-49012 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-49015 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-49018 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-49021 Microsoft SQL Server Remote Code Execution Vulnerability Important
SQL Server CVE-2024-49016 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-49017 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-49010 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-49005 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-49007 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-49003 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-49004 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-49006 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-49009 SQL Server Native Client Remote Code Execution Vulnerability Important
SQL Server CVE-2024-49008 SQL Server Native Client Remote Code Execution Vulnerability Important
TorchGeo CVE-2024-49048 TorchGeo Remote Code Execution Vulnerability Important
Visual Studio CVE-2024-49044 Visual Studio Elevation of Privilege Vulnerability Important
Visual Studio Code CVE-2024-49050 Visual Studio Code Python Extension Remote Code Execution Vulnerability Important
Visual Studio Code CVE-2024-49049 Visual Studio Code Remote Extension Elevation of Privilege Vulnerability Moderate
Windows CSC Service CVE-2024-43644 Windows Client-Side Caching Elevation of Privilege Vulnerability Important
Windows Defender Application Control (WDAC) CVE-2024-43645 Windows Defender Application Control (WDAC) Security Feature Bypass Vulnerability Important
Windows DWM Core Library CVE-2024-43636 Win32k Elevation of Privilege Vulnerability Important
Windows DWM Core Library CVE-2024-43629 Windows DWM Core Library Elevation of Privilege Vulnerability Important
Windows Kerberos CVE-2024-43639 Windows Kerberos Remote Code Execution Vulnerability Critical
Windows Kernel CVE-2024-43630 Windows Kernel Elevation of Privilege Vulnerability Important
Windows NT OS Kernel CVE-2024-43623 Windows NT OS Kernel Elevation of Privilege Vulnerability Important
Windows NTLM CVE-2024-43451 NTLM Hash Disclosure Spoofing Vulnerability Important
Windows Package Library Manager CVE-2024-38203 Windows Package Library Manager Information Disclosure Vulnerability Important
Windows Registry CVE-2024-43641 Windows Registry Elevation of Privilege Vulnerability Important
Windows Registry CVE-2024-43452 Windows Registry Elevation of Privilege Vulnerability Important
Windows Secure Kernel Mode CVE-2024-43631 Windows Secure Kernel Mode Elevation of Privilege Vulnerability Important
Windows Secure Kernel Mode CVE-2024-43646 Windows Secure Kernel Mode Elevation of Privilege Vulnerability Important
Windows Secure Kernel Mode CVE-2024-43640 Windows Kernel-Mode Driver Elevation of Privilege Vulnerability Important
Windows SMB CVE-2024-43642 Windows SMB Denial of Service Vulnerability Important
Windows SMBv3 Client/Server CVE-2024-43447 Windows SMBv3 Server Remote Code Execution Vulnerability Important
Windows Task Scheduler CVE-2024-49039 Windows Task Scheduler Elevation of Privilege Vulnerability Important
Windows Telephony Service CVE-2024-43628 Windows Telephony Service Remote Code Execution Vulnerability Important
Windows Telephony Service CVE-2024-43621 Windows Telephony Service Remote Code Execution Vulnerability Important
Windows Telephony Service CVE-2024-43620 Windows Telephony Service Remote Code Execution Vulnerability Important
Windows Telephony Service CVE-2024-43627 Windows Telephony Service Remote Code Execution Vulnerability Important
Windows Telephony Service CVE-2024-43635 Windows Telephony Service Remote Code Execution Vulnerability Important
Windows Telephony Service CVE-2024-43622 Windows Telephony Service Remote Code Execution Vulnerability Important
Windows Telephony Service CVE-2024-43626 Windows Telephony Service Elevation of Privilege Vulnerability Important
Windows Update Stack CVE-2024-43530 Windows Update Stack Elevation of Privilege Vulnerability Important
Windows USB Video Driver CVE-2024-43643 Windows USB Video Class System Driver Elevation of Privilege Vulnerability Important
Windows USB Video Driver CVE-2024-43449 Windows USB Video Class System Driver Elevation of Privilege Vulnerability Important
Windows USB Video Driver CVE-2024-43637 Windows USB Video Class System Driver Elevation of Privilege Vulnerability Important
Windows USB Video Driver CVE-2024-43634 Windows USB Video Class System Driver Elevation of Privilege Vulnerability Important
Windows USB Video Driver CVE-2024-43638 Windows USB Video Class System Driver Elevation of Privilege Vulnerability Important
Windows VMSwitch CVE-2024-43625 Microsoft Windows VMSwitch Elevation of Privilege Vulnerability Critical
Windows Win32 Kernel Subsystem CVE-2024-49046 Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability Important