Microsoft sikkerhetsoppdateringer for august 2019
De kritiske sårbarhetene påvirker blant annet Microsoft Word, Windows Server sin DHCP-tjener, Outlook, Hyper-V, Remote Desktop Services (RDP), samt Microsofts nettlesere generelt. Disse sårbarhetene er gjennomgått i mer detaljer under.
Adobe [2] har også publisert kritiske sikkerhetsoppdateringer for Adobe Photoshop CC, Adobe Experience Manager og Creative Cloud Desktop Application.
Tre av sårbarhetene som ble rettet av Microsoft har fått mer oppmerksomhet enn de andre sårbarhetene grunnet deres alvorlighet:
- CVE-2019-1162: Privilegieeskalering i ALPC [3][4]
- CVE-2019-1181: Fjernkjøring av vilkårlig kode over RDP [5
- CVE-2019-1182: Fjernkjøring av vilkårlig kode over RDP [5]
Sårbarheten i ALPC tillater eskalering av privilegier til SYSTEM [3][4]. Project Zero som oppdaget sårbarheten har i tillegg publisert utnyttelseskode [6].
Sårbarhetene i Remote Desktop Services [5] har Microsoft selv oppdaget. Disse har i likhet med BlueKeep (CVE-2019-0708) ormlignende egenskaper og krever verken brukerinteraksjon eller autentisering for å utnyttes. I motsetning til BlueKeep, er alle støttede versjoner av Windows sårbare.
Vi i NorCERT har foreløpig ikke observert aktiv utnyttelse av sårbarhetene, men anbefaler virksomheter å oppdatere så snart det lar seg gjøre.
Eksterne nettsider for flere detaljer om sårbarhetene
- https://portal.msrc.microsoft.com/en-us/security-guidance
- https://helpx.adobe.com/security.html
- https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1162
- https://googleprojectzero.blogspot.com/2019/08/down-rabbit-hole.html
- https://msrc-blog.microsoft.com/2019/08/13/patch-new-wormable-vulnerabilities-in-remote-desktop-services-cve-2019-1181-1182/
- https://github.com/taviso/ctftool
Sårbarheter belyst i dette sårbarhetsvarselet
Microsoft Word Remote Code Execution
| Exploitability Index - EI (x,y): | 1, 1 |
| Referanse | CVE-2019-1201 CVE-2019-1205 |
Retter en sårbarhet i hvordan Microsoft Word håndterer objekter i minne. Sårbarheten kan utnyttes enten ved å få en bruker til å åpne en spesielt utformet fil, eller ved å utnytte forhåndsvisning av dokumenter i Outlook. Sårbarheten lar en angriper kjøre vilkårlig kode med samme privilegier som nåværende bruker.
Microsoft Outlook Memory Corruption
| EI(x,y): | 1, 1 |
| Tittel | CVE-2019-1199 |
Microsoft Outlook inneholder en sårbarhet som muliggjøre fjernkjøring av kode, grunnet en feil i hvordan objekter i minne håndteres. Hvis nåværende bruker har administrator-rettigheter, kan sårbarheten brukes til å ta kontroll over utsatte systemer. Utnyttelse av sårbarheten krever at en bruker åpner en spesielt utformet fil med sårbare versjoner av Microsoft Outlook. En angriper kan sende en mail med filen til en bruker, og få bruker til å åpne denne filen i Outlook.
Remote Desktop Services Remote Code
| EI(x,y): | 1, 1 |
| Tittel | CVE-2019-1181 CVE-2019-1182 CVE-2019-1222 CVE-2019-1226 |
Det er en sårbarhet i Windows Remote Desktop Services som lar en uautentisert angriper fjernkjøre kode på sårbare systemer. Sårbarheten kan utnyttes ved å sende spesielt utformet spørringer via RDP til ett sårbart system. Sikkerhetsoppdateringen adresserer sårbarheten ved å korrigere hvordan Remote Desktop Services håndterer tilkoblingsforespørsler.
Chakra Scripting Engine Memory Corruption
| EI(x,y): | 1, N |
| Tittel | CVE-2019-1131 CVE-2019-1139 CVE-2019-1140 CVE-2019-1141 CVE-2019-1195 CVE-2019-1196 CVE-2019-1197 |
Retter en sårbarhet i hvordan script motoren i Microsoft Edge håndterer objekter i minne. Sårbarheten gjør det mulig for angriper å manipulere minne på en slik måte at angriper kan eksekvere vilkårlig kode med samme privilegier som bruker. Sårbarheten kan utnyttes ved at angriper får bruker til å besøke en nettside med ondsinnet innhold.
Windows Hyper-V Remote Code Execution
| EI(x,y): | 2, 2 |
| Tittel | CVE-2019-0965 |
Microsoft Hyper-V inneholder en sårbarhet som kan føre til fjernekservering på en server som feiler med å validere inndata fra en uautentisert bruker på et gjesteoperativsystem. For å utnytte sårbarheten kan en angriper kjøre en spesielt utformet applikasjon på gjesteoperativsystemet som kan føre til at Hyper-V-serveren kjører vilkårlig kode. En angriper som vellykket utnytter sårbarheten kan kjøre vilkårlig kode på Hyper-V-operativsystemet. Sikkerhetsoppdateringen adresserer sårbarheten ved å rette opp i hvordan Hyper-V validerer gjesteoperativsystemets inndata fra brukeren.
Microsoft Outlook Remote Code Execution
| EI(x,y): | 2, 2 |
| Tittel | CVE-2019-1200 |
Microsoft Outlook inneholder en sårbarhet grunnet en feil i hvordan den håndterer objekter i minne. Sårbarheten kan utnyttes ved å få en bruker til å åpne en spesielt utformet fil. Dersom en angriper utnytter sårbarheten, kan de eksekvere vilkårlig kode med samme privilegier som nåværende bruker.
LNK Remote Code Execution Vulnerability
| EI(x,y): | 2, 2 |
| Tittel | CVE-2019-1188 |
Microsoft Windows har en sårbarhet i hvordan .LNK filer blir prosessert. Utnyttelse kan la en angriper oppnå samme rettigheter som den lokale brukeren. Sårbarheten kan utnyttes ved å få en bruker til å åpne en USB harddisk eller en lagringsplass på nettet med .LNK-filen og tilhørende ondsinnet programvare. Brukere som er konfigurert til å ha mindre rettigheter på systemet, kan være mindre utsatt enn brukere med administrator-rettigheter.
Windows VBScript Engine Remote Code
| EI(x,y): | 2, 2 |
| Tittel | CVE-2019-1183 |
En sårbarhet i hvordan VBScript engine håndterer objekter i minne. Sårbarheten lar en angriper korruptere minne på en slik måte at de kan eksekvere vilkårlig kode med samme rettigheter som nåværende bruker. Dersom brukeren har administrator-rettigheter så kan sårbarheten brukes til å ta kontroll over systemet. Sårbarheten kan utnyttes ved å lure brukeren til å åpne en ondsinnet nettside i Internet Explorer, eller med ett Microsoft Office dokument som bruker IE rendering engine.
Scripting Engine Memory Corruption
| EI(x,y): | 2, 2 |
| Tittel | CVE-2019-1194 |
Det er en sårbarhet i hvordan scripting engine i Internet Explorer håndterer objekter i minne. Sårbarheten lar en angriper korruptere minne på en slik måte at de kan eksekvere vilkårlig kode i samme kontekst som nåværende bruker. Dersom brukeren har administrator-rettigheter så kan sårbarheten brukes til å ta kontroll over systemet. Sårbarheten kan utnyttes ved å lure brukeren til å åpne en ondsinnet nettside i Internet Explorer, eller med ett Microsoft Office dokument som bruker IE rendering engine.
Windows DHCP Client Remote Code Execution
| EI(x,y): | 2, 2 |
| Tittel | CVE-2019-0736 |
Det er en minne-ødeleggelse sårbarhet i Windows DHCP klienten når en angriper sender en spesielt utformet DHCP respons til en klient. Utnyttelse av sårbarheten lar en angriper kjøre vilkårlig kode på klient-maskinen.
Hyper-V Remote Code Execution Vulnerability
| EI(x,y): | 2, 2 |
| Tittel | CVE-2019-0720 |
Windows Hyper-V Network Switch inneholder en sårbarhet som kan føre til fjerneksekvering av kode når hosten ikke klarer å validere input fra en autentisert bruker på ett gjesteoperativsystem. For å utnytte sårbarheten kan en angriper kjøre en spesielt utformet applikasjon på gjesteoperativsystemet som kan føre til at Hyper-V-serveren kjører vilkårlig kode. En angriper som vellykket utnytter sårbarheten kan kjøre vilkårlig kode på Hyper-V-operativsystemet. Sikkerhetsoppdateringen adresserer sårbarheten ved å rette opp i hvordan Hyper-V Network Switch validerer nettverkstrafikk fra gjesteoperativsystem.
Microsoft Graphics Remote Code Execution
| EI(x,y): | 2, 2 |
| Tittel | CVE-2019-1144 CVE-2019-1145 CVE-2019-1149 CVE-2019-1150 CVE-2019-1151 CVE-2019-1152 |
Det er en sårbarhet i hvordan Windows font biblioteket håndterer spesielt utformet embedded fonter. En angriper som klarer å utnytte sårbarheten kan ta kontroll over systemet. En bruker som har mindre rettigheter kan være mindre utsatt en brukere med administrator-rettigheter. Det er flere måter sårbarheten kan utnyttes. I ett web-basert angrepsscenario så kan angriper få en bruker til å se på en spesielt utformet nettside. En angriper kan også lure en bruker til å åpne ett spesielt utformet dokument.
Windows DHCP Server Remote Code Execution
| EI(x,y): | N, 2 |
| Tittel | CVE-2019-1213 |
En sårbarhet i hvordan DHCP servicen på Windows Server muliggjør fjerneksekvering av vilkårlig kode på sårbare systemer. Sårbarheten kan utnyttes ved å sende en spesielt utformet pakke til DHCP serveren.
Om Exploitability Index
For hver sårbarhet gir Microsoft en vurdering av sannsynligheten for at den skal kunne utnyttes. Dette kaller de «exploitability index».
En «exploitability index» på 0 betyr at Microsoft har observert utnyttelse. 1 betyr at Microsoft anser utnyttelse som sannsynlig og at det er lett å skrive stabil utnyttelseskode for sårbarheten. 2 betyr at utnyttelse er mindre sannsynlig og at stabil utnyttelseskode vil være vanskelig å produsere. 3 betyr at utnyttelse er usannsynlig. N betyr at sårbarheten ikke finnes i aktuell versjon av programvaren.
Det gis én verdi for den nyeste versjonen av det aktuelle produktet, og én verdi for de eldre/andre støttede versjonene. Vi markerer sårbarhetene under med (EI: x,y) hvor x er siste versjon, og y er eldre/andre versjoner.