Microsoft ha rilasciato gli aggiornamenti di sicurezza del Patch Tuesday di novembre 2024, risolvendo 89 vulnerabilità su vari prodotti, tra cui due falle zero-day già sfruttate attivamente.
Gli aggiornamenti hanno corretto criticità in Windows, Office, Azure, .NET, Visual Studio e altri componenti Microsoft. Quattro delle falle sono classificate come Critiche, 84 come Importanti e una come Moderata. In totale, Microsoft ha risolto 949 vulnerabilità nel corso del 2024.
Due vulnerabilità, identificate come CVE-2024-43451 e CVE-2024-49039, risultano già sfruttate attivamente al momento del rilascio delle patch:
- CVE-2024-43451: una falla di spoofing che consente di estrarre l'hash NTLMv2 di un utente tramite componenti di Internet Explorer
- CVE-2024-49039: un problema di elevazione dei privilegi in Windows Task Scheduler che permette la fuga da AppContainer
La vulnerabilità più grave corretta è chiaramente CVE-2024-43602, una falla di esecuzione di codice remoto in Azure CycleCloud con punteggio CVSS 9.9. In pratica consente a chi attacca con permessi base di ottenere accesso root e potenzialmente compromettere le credenziali dell'amministratore.
Microsoft ha anche risolto CVE-2024-43498, una vulnerabilità di esecuzione di codice remoto in .NET e Visual Studio con punteggio CVSS 9.8, sfruttabile tramite richieste appositamente create verso app web .NET o file caricati da app desktop.
Come sempre si raccomanda di applicare il più in fretta possibile gli aggiornamenti di sicurezza per mitigare i rischi, in particolare per le vulnerabilità già sfruttate attivamente.