Microsoft sikkerhetsoppdatering for september 2019
Sårbarheter belyst i dette sårbarhetsvarselet
Remote Desktop Client Remote Code Execution
| Exploitability Index* - EI(x,y): | 1, 1 |
| Tittel: | CVE-2019-0787 CVE-2019-0788 CVE-2019-1290 CVE-2019-1291 |
Windows Remote Desktop Client inneholder en sårbarhet som oppstår kun ved at en bruker kobler seg opp mot en ondsinnet server. En angriper som kontrollerer serveren kan kjøre vilkårlig kode på brukerens klient, i tillegg til å installere applikasjoner, se, endre og modifisere data, eller opprette nye brukerkontoer med fulle brukerrettigheter. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun lure brukeren til å koble seg opp mot sin server. Dette kan gjøres med metoder som "social engineering", DNS-poisoning, eller ved et MITM-angrep. Alternativt kan angriperen kompromittere en legitim server, plante ondisnnet kode på den og vente på at brukeren kobler seg opp.
Microsoft SharePoint Remote Code Execution
| EI(x,y): | 1, 1 |
| Tittel | CVE-2019-1295 CVE-2019-1296 |
Microsoft SharePoint inneholder en sårbarhet som har rot i APIer behandler usikker inndata. En angriper kan ved å utnytte sårbarheten kjøre vilkårlig kode i kontekst av "SharePoint application pool" og "SharePoint server farm account". For at angriperen skal lykkes med å utnytte sårbarheten må han/hun ha tilgang til APIene til en berørt versjon av SharePoint.
Microsoft SharePoint Remote Code Execution
| EI(x,y): | 1, 1 |
| Tittel: | CVE-2019-1257 |
Microsoft SharePoint inneholder en sårbarhet som har rot i hvordan programvaren feilaktig behandler markup i pakkedata til applikasjoner. En angriper kan ved å utnytte sårbarheten kjøre vilkårlig kode i kontekst av "SharePoint application pool" og "SharePoint server farm account". For at angriperen skal lykkes med å utnytte sårbarheten må han/hun laste opp en spesielt utformet SharePoint-applikasjon til en berørt versjon av SharePoint.
Chakra Scripting Engine Memory Corruption
| EI(x,y): | 2, 2 |
| Tittel | CVE-2019-1237 CVE-2019-1138 CVE-2019-1217 CVE-2019-1298 CVE-2019-1300 |
Skriptmotoren ChakraCore inneholder en sårbarhet som har rot i hvordan skriptmotoren behandler objekter i minnet i Microsoft Edge. Sårbarheten, som kan føre til fjernekservering, utnyttes ved å endre minnet på en slik måte at den legger til rette for at en angriper kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside med Microsoft Edge. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.
LNK Remote Code Execution Vulnerability
| EI(x,y): | 2, 2 |
| Tittel | CVE-2019-1280 |
Microsoft Windows inneholder en sårbarhet som har rot i hvordan operativsystemet prosesserer .LNK-filer. En angriper kan ved å utnytte sårbarheten oppnå samme rettigheter som den påloggede brukeren. Brukere som er satt opp med begrensende rettigheter vil være mindre utsatt enn brukere med administraive rettigheter. Sårbarheten kan utnyttes ved at angriperen får brukeren til å åpne en filsti som inneholder en ondsinnet .LNK-fil med en ondsinnet ekserverbar fil. Denne filstien kan f.eks. være på en minnepenn eller en nettverkslokasjon. Når brukeren åpner filstien i Windows Explorer eller en annen applikasjon leses da .LNK-filen som igjen vil kjøre angriperens kode.
VBScript Remote Code Execution
| EI(x,y): | 2, 2 |
| Tittel | CVE-2019-1208 CVE-2019-1236 |
Skriptmotoren VBScript inneholder en sårbarhet som har rot i hvordan skriptmotoren behandler objekter i minnet. Sårbarheten utnyttes ved å endre minnet på en slik måte at den legger til rette for at en angriper kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke
en spesielt utformet nettside med Internet Explorer. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren. Angriperen kan også pakke inn et spesielt utformet ActiveX-objekt i en applikasjon eller i et Microsoft Office-document som benytter seg av Internet Explorer internt for å presentere ActiveX-objektet.
September 2019 Adobe Flash Security Update
| EI(x,y): | 2, 2 |
| Tittel | ADV190022 |
Denne oppdateringen adresserer CVE-ene CVE-2019-8069- og 8070 i Adobe Flash. Se Adobe Security Bulletin APSB19-46 for mer informasjon.
Azure DevOps and Team Foundation Server
| EI (x,y) | 2, 2 |
| Tittel | CVE-2019-1306 |
Azure DevOps Server (ADO) og Team Foundation Server (TFS) inneholder en sårbarhet som rot i hvordan programvarene validerer inndata. En angriper kan kjøre kode på serveren med rettighetene til TFS eller ADO sine brukerkontoer. Sårbarheten utnyttes ved at angriperen laster opp en spesielt utformet fil til en sårbar instans av ADO eller TFS server repo og vente på at systemene indekserer filen.
Scripting Engine Memory Corruption
| EI(x,y): | 2, N |
| Tittel | CVE-2019-1221 |
Skriptmotoren i Windows inneholder en sårbarhet som har rot i hvordan skriptmotoren behandler objekter i minnet tilhørende Internet Explorer. Sårbarheten utnyttes ved å endre minnet på en slik måte at den legger til rette for at en angriper kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside med Internet Explorer. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren. Alterativt kan angriperen kompromittere nettsider som tillater opplasting av innhold av brukere, eller reklame. I tillegg kan angriperen kan også pakke inn et spesielt utformet ActiveX-objekt i en applikasjon eller i et Microsoft Office-document som benytter seg av Internet Explorer internt for å presentere ActiveX-objektet.
Se Microsoft [1] og Adobe [2] sine nettsider for flere detaljer.
NorCERT anbefaler alle å oppdatere programvaren på sine systemer til siste versjon.
Referanser:
- https://portal.msrc.microsoft.com/en-us/security-guidance
- https://helpx.adobe.com/security.html
Om Exploitability Index
For hver sårbarhet gir Microsoft en vurdering av sannsynligheten for at den skal kunne utnyttes. Dette kaller de «exploitability index». En «exploitability index» på 1 betyr at Microsoft anser det som lett
å skrive stabil utnyttelseskode for sårbarheten. 0 betyr at utnyttelse er observert, mens N betyr at sårbarheten ikke finnes i den/de versjonen(e) av programvaren. Det gis én verdi for den nyeste versjonen av det aktuelle produktet, og én verdi for de andre støttede versjonene. Vi markerer sårbarhetene under med (EI: x,y) hvor x er siste versjon, og y er resterende.