CVE-2024-49128
In Microsoft Windows und Microsoft Windows Server existieren mehrere Schwachstellen. Ein Angreifer kann diese Schwachstellen ausnutzen, um erweiterte Rechte, einschließlich SYSTEM-Rechten, zu erlangen, um beliebigen Code auszuführen - sogar im Kontext des SYSTEM-Kontos -, um vertrauliche persönliche Informationen und Speicherinhalte offenzulegen und um einen Denial-of-Service-Zustand herbeizuführen. Viele der Schwachstellen erfordern Benutzerinteraktion, um erfolgreich ausgenutzt zu werden. Das Opfer muss eine bösartige Datei öffnen oder dazu gebracht werden, eine Anfrage an einen bösartigen Server zu senden. Bei einigen Schwachstellen müssen spezielle Bedingungen erfüllt sein: Der Angreifer muss eine Race-Condition gewinnen oder physischen Zugriff auf den Zielcomputer haben, um ein bösartiges USB-Laufwerk einstecken zu können. Einige Schwachstellen erfordern erweiterte Rechte, einschließlich Administratorrechten, um erfolgreich ausgenutzt zu werden. Einige Schwachstellen können sich über die betroffenen Komponenten hinaus auswirken.
EPSS 0.28% · 51.9th percentile
Risk Scores
Affected Products
| Vendor | Product | Versions |
|---|---|---|
| Microsoft | Microsoft Windows 11 Version 22H2 | |
| Microsoft | Microsoft Windows Server 2022 | |
| Microsoft | Microsoft Windows 10 Version 1607 | |
| Microsoft | Microsoft Windows Server 2012 R2 | |
| Microsoft | Microsoft Windows 10 | |
| Microsoft | Microsoft Windows 11 Version 23H2 | |
| Microsoft | Microsoft Windows Server 2012 | |
| Microsoft | Microsoft Windows 10 Version 21H2 | |
| Microsoft | Microsoft Windows Server 2022 23H2 Edition | |
| Hitachi | Hitachi Storage | |
| Microsoft | Microsoft Windows 11 Version 24H2 | |
| Microsoft | Microsoft Windows 10 Version 1809 | |
| Microsoft | Microsoft Windows Server 2008 R2 SP1 | |
| Microsoft | Microsoft Windows Server 2016 | |
| Microsoft | Microsoft Windows Server 2019 | |
| Microsoft | Microsoft Windows Server 2025 | |
| Microsoft | Microsoft Windows 10 Version 22H2 | |
| Microsoft | Microsoft Windows Server 2008 SP2 |
Timeline
- Dec 10, 2024 CVE Published
- Dec 10, 2024 PoC Published
- Dec 10, 2024 PoC Published
- Dec 11, 2024 EPSS Score
- Dec 13, 2024 PoC Published
- Dec 16, 2024 PoC Published
- Dec 28, 2024 EPSS Score
- Jan 8, 2025 PoC Published
- Jan 13, 2025 EPSS Score
- Jan 30, 2025 EPSS Score
- Feb 4, 2025 Coalition ESS Score
- Feb 16, 2025 EPSS Score
References
- https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-3657.json advisory
- https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-3657 advisory
- https://msrc.microsoft.com/update-guide/ advisory
- https://github.com/SafeBreach-Labs/CVE-2024-49112 advisory
- https://www.safebreach.com/blog/ldapnightmare-safebreach-labs-publishes-first-proof-of-concept-exploit-for-cve-2024-49113/ exploit
- https://www.hitachi.com/products/it/storage-solutions/sec_info/2024/12.html advisory