Blog:

De geschiedenis van 30 jaar cybersecurity

Lees verder

Pinewood Security Bulletin – Microsoft Patch Tuesday august 2024

For English, see below.

Samenvatting

Tijdens de Microsoft Patch Tuesday van augustus 2024 zijn 90 Microsoft CVE’s gepubliceerd, waaronder meerdere kritieke kwetsbaarheden. Microsoft adviseert om de beveiligingsupdates van Patch Tuesday te installeren om deze kwetsbaarheden te verhelpen. Pinewood adviseert om tijdens het oplossen van deze kwetsbaarheden rekening te houden met desktopapplicaties en om systemen waarop eindgebruikers inloggen te prioriteren.

Beschrijving

Tijdens de Microsoft Patch Tuesday van augustus 2024 zijn 90 Microsoft CVE’s gepubliceerd, waaronder meerdere kritieke kwetsbaarheden. Onder de opgeloste kwetsbaarheden zijn 6 kwetsbaarheden waarvan bekend is dat deze uitgebuit worden. Deze zijn door het CISA toegevoegd aan de ‘Known Exploited Vulnerability’ (KEV) catalogus. Daarnaast zijn er 11 kwetsbaarheden waarvan verwacht wordt dat deze misbruikt kunnen worden.

Hieronder volgt het een overzicht van de 6 kwetsbaarheden waarvan misbruik is gedetecteerd:

  • CVE-2024-38106 Microsoft Windows Kernel Privilege Escalation Vulnerability
  • CVE-2024-38107 Microsoft Windows Power Dependency Coordinator Privilege Escalation Vulnerability
  • CVE-2024-38178 Microsoft Windows Scripting Engine Memory Corruption Vulnerability
  • CVE-2024-38189 Microsoft Project Remote Code Execution Vulnerability
  • CVE-2024-38193 Microsoft Windows Ancillary Function Driver for WinSock Privilege Escalation Vulnerability
  • CVE-2024-38213 Windows Mark of the Web Security Feature Bypass Vulnerability

De Microsoft Project kwetsbaarheid (CVE-2024-38189) raakt met name aan eindgebruikers van Microsoft Project en is afhankelijk van de specifieke macro-instellingen (zie ook de Microsoft FAQ). De impact van de Windows Mark of the Web kwetsbaarheid raakt aan de waarschuwing pop-up die weergegeven wordt bij bestanden die vanaf het internet gedownload zijn. De Windows Scripting kwetsbaarheid vereist dat een gebruiker een malafide website opent in Edge met Internet Explorer mode ingeschakeld. De overige kwetsbaarheden hebben de impact ‘Elevation of Privilege’ waarbij vanuit een gebruiker hogere (SYSTEM) rechten verkregen kunnen worden.

Naast de kwetsbaarheden waarbij misbruik is gedetecteerd, is de analyse van Microsoft dat 11 kwetsbaarheden een grotere kans hebben om in de toekomst misbruikt te worden. Dit zijn de volgende kwetsbaarheden:

  • CVE-2024-38063 Windows TCP/IP Remote Code Execution Vulnerability
  • CVE-2024-38125 Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability
  • CVE-2024-38133 Windows Kernel Elevation of Privilege Vulnerability
  • CVE-2024-38141 Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability
  • CVE-2024-38144 Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability
  • CVE-2024-38147 Microsoft DWM Core Library Elevation of Privilege Vulnerability
  • CVE-2024-38148 Windows Secure Channel Denial of Service Vulnerability
  • CVE-2024-38150 Windows DWM Core Library Elevation of Privilege Vulnerability
  • CVE-2024-38163 Windows Update Stack Elevation of Privilege Vulnerability
  • CVE-2024-38196 Windows Common Log File System Driver Elevation of Privilege Vulnerability
  • CVE-2024-38198 Windows Print Spooler Elevation of Privilege Vulnerability

De Windows TCP/IP kwetsbaarheid (CVE-2024-38063) raakt aan de IPv6 stack van Windows en kan leiden tot Remote Code Execution.

Kwetsbare versies

De Microsoft Windows kwetsbaarheden waarvan misbruik bekend is raken aan onderstaande Windows versies. Voor specifieke informatie over de getroffen versies en architecturen verwijzen wij naar de informatie die Microsoft publiceert.

  • Windows 10
  • Windows 11
  • Windows Server 2008
  • Windows Server 2012
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

De Microsoft Project kwetsbaarheid (CVE-2024-38189), die actief misbruikt, wordt raakt de volgende software:

  • Microsoft 365 Apps for Enterprise
  • Microsoft Office 2019
  • Microsoft Office LTSC 2021
  • Microsoft Project 2016

Oplossingen en tijdelijke mitigaties

Microsoft adviseert om de beveiligingsupdates van Patch Tuesday te installeren om deze kwetsbaarheden te verhelpen. Raadpleeg de informatie van Microsoft over de specifieke versies die de kwetsbaarheid verhelpen en eventuele (tijdelijk) mitigerende maatregelen.

Pinewood adviseert om tijdens het oplossen van deze kwetsbaarheden rekening te houden met desktopapplicaties, zoals Microsoft Project en Edge, die niet altijd onderdeel zijn van de gebruikelijke update procedure. Aanvullend adviseert Pinewood om systemen waarop eindgebruikers (mogen) inloggen, zoals laptops en VDI-omgevingen, te prioriteren.

Meer informatie

https://msrc.microsoft.com/update-guide/releaseNote/2024-Aug

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center. Het Pinewood SOC servicedesk is bereikbaar via +31 15 750 1331 en via soc@pinewood.nl.

===== ENGLISH =====

Summary

During the August 2024 Microsoft Patch Tuesday, 90 Microsoft CVEs were published, including several critical vulnerabilities. Microsoft recommends installing Patch Tuesday security updates to fix these vulnerabilities. Pinewood advises taking desktop applications into account while fixing these vulnerabilities and prioritising systems on which end users log in.

Description

During the August 2024 Microsoft Patch Tuesday, 90 Microsoft CVEs were published, including several critical vulnerabilities. Among the resolved vulnerabilities are 6 vulnerabilities known to be exploited. These have been added to the ‘Known Exploited Vulnerability’ (KEV) catalogue by CISA. In addition, there are 11 vulnerabilities that are expected to be abused.

The following is an overview of the 6 vulnerabilities where misuse has been detected:

  • CVE-2024-38106 Microsoft Windows Kernel Privilege Escalation Vulnerability
  • CVE-2024-38107 Microsoft Windows Power Dependency Coordinator Privilege Escalation Vulnerability
  • CVE-2024-38178 Microsoft Windows Scripting Engine Memory Corruption Vulnerability
  • CVE-2024-38189 Microsoft Project Remote Code Execution Vulnerability
  • CVE-2024-38193 Microsoft Windows Ancillary Function Driver for WinSock Privilege Escalation Vulnerability
  • CVE-2024-38213 Microsoft Windows SmartScreen Security Feature Bypass Vulnerability

The Microsoft Project vulnerability (CVE-2024-38189) affects Microsoft Project end-users and depends on the specific macro settings (see also the Microsoft FAQ). The impact of the Windows SmartScreen vulnerability is a ‘security feature bypass’ that affects the warning pop-up displayed for files downloaded from the Internet. The other vulnerabilities have the impact ‘Elevation of Privilege’ where higher (SYSTEM) privileges can be obtained from a user.

Besides the vulnerabilities where abuse has been detected, Microsoft’s analysis is that 11 vulnerabilities are more likely to be exploited in the future. These are the following vulnerabilities:

  • CVE-2024-38063 Windows TCP/IP Remote Code Execution Vulnerability
  • CVE-2024-38125 Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability
  • CVE-2024-38133 Windows Kernel Elevation of Privilege Vulnerability
  • CVE-2024-38141 Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability
  • CVE-2024-38144 Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability
  • CVE-2024-38147 Microsoft DWM Core Library Elevation of Privilege Vulnerability
  • CVE-2024-38148 Windows Secure Channel Denial of Service Vulnerability
  • CVE-2024-38150 Windows DWM Core Library Elevation of Privilege Vulnerability
  • CVE-2024-38163 Windows Update Stack Elevation of Privilege Vulnerability
  • CVE-2024-38196 Windows Common Log File System Driver Elevation of Privilege Vulnerability
  • CVE-2024-38198 Windows Print Spooler Elevation of Privilege Vulnerability

The Windows TCP/IP vulnerability (CVE-2024-38063) affects Windows’ IPv6 stack and can lead to Remote Code Execution.

Vulnerable versions

The Microsoft Windows vulnerabilities known to be exploited affect the Windows versions listed below. For specific information on the affected versions and architectures, please refer to the information published by Microsoft.

  • Windows 10
  • Windows 11
  • Windows Server 2008
  • Windows Server 2012
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

The Microsoft Project vulnerability (CVE-2024-38189), which is being actively exploited, affects the following software

  • Microsoft 365 Apps for Enterprise
  • Microsoft Office 2019
  • Microsoft Office LTSC 2021
  • Microsoft Project 2016

Solutions and workarounds

Microsoft recommends installing Patch Tuesday security updates to fix these vulnerabilities. Refer to Microsoft’s information on the specific versions that fix the vulnerability and any (temporary) mitigating measures.

Pinewood advises to take into account desktop applications, such as Microsoft Project, which are not always part of the usual update procedure while fixing these vulnerabilities. Additionally, Pinewood recommends prioritising systems on which end users (may) log in, such as laptops and VDI environments.

More information

https://msrc.microsoft.com/update-guide/releaseNote/2024-Aug

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl