De kritiske sårbarhetene påvirker blant annet Microsoft Word, Windows Server sin DHCP-tjener, Outlook, Hyper-V, Remote Desktop Services (RDP), samt Microsofts nettlesere generelt. Disse sårbarhetene er gjennomgått i mer detaljer under.

Adobe [2] har også publisert kritiske sikkerhetsoppdateringer for Adobe Photoshop CC, Adobe Experience Manager og Creative Cloud Desktop Application.

Tre av sårbarhetene som ble rettet av Microsoft har fått mer oppmerksomhet enn de andre sårbarhetene grunnet deres alvorlighet:

  • CVE-2019-1162: Privilegieeskalering i ALPC [3][4]
  • CVE-2019-1181: Fjernkjøring av vilkårlig kode over RDP [5
  • CVE-2019-1182: Fjernkjøring av vilkårlig kode over RDP [5]

Sårbarheten i ALPC tillater eskalering av privilegier til SYSTEM [3][4]. Project Zero som oppdaget sårbarheten har i tillegg publisert utnyttelseskode [6].

Sårbarhetene i Remote Desktop Services [5] har Microsoft selv oppdaget. Disse har i likhet med BlueKeep (CVE-2019-0708) ormlignende egenskaper og krever verken brukerinteraksjon eller autentisering for å utnyttes. I motsetning til BlueKeep, er alle støttede versjoner av Windows sårbare.

Vi i NorCERT har foreløpig ikke observert aktiv utnyttelse av sårbarhetene, men anbefaler virksomheter å oppdatere så snart det lar seg gjøre.

Eksterne nettsider for flere detaljer om sårbarhetene

  1. https://portal.msrc.microsoft.com/en-us/security-guidance
  2. https://helpx.adobe.com/security.html
  3. https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1162
  4. https://googleprojectzero.blogspot.com/2019/08/down-rabbit-hole.html
  5. https://msrc-blog.microsoft.com/2019/08/13/patch-new-wormable-vulnerabilities-in-remote-desktop-services-cve-2019-1181-1182/
  6. https://github.com/taviso/ctftool

Sårbarheter belyst i dette sårbarhetsvarselet

Microsoft Word Remote Code Execution

Exploitability Index - EI (x,y): 1, 1
Referanse CVE-2019-1201
CVE-2019-1205

Retter en sårbarhet i hvordan Microsoft Word håndterer objekter i minne. Sårbarheten kan utnyttes enten ved å få en bruker til å åpne en spesielt utformet fil, eller ved å utnytte forhåndsvisning av dokumenter i Outlook. Sårbarheten lar en angriper kjøre vilkårlig kode med samme privilegier som nåværende bruker.

Microsoft Outlook Memory Corruption

EI(x,y): 1, 1
Tittel CVE-2019-1199

Microsoft Outlook inneholder en sårbarhet som muliggjøre fjernkjøring av kode, grunnet en feil i hvordan objekter i minne håndteres. Hvis nåværende bruker har administrator-rettigheter, kan sårbarheten brukes til å ta kontroll over utsatte systemer. Utnyttelse av sårbarheten krever at en bruker åpner en spesielt utformet fil med sårbare versjoner av Microsoft Outlook. En angriper kan sende en mail med filen til en bruker, og få bruker til å åpne denne filen i Outlook.

Remote Desktop Services Remote Code

EI(x,y):  1, 1
Tittel CVE-2019-1181
CVE-2019-1182
CVE-2019-1222
CVE-2019-1226

Det er en sårbarhet i Windows Remote Desktop Services som lar en uautentisert angriper fjernkjøre kode på sårbare systemer. Sårbarheten kan utnyttes ved å sende spesielt utformet spørringer via RDP til ett sårbart system. Sikkerhetsoppdateringen adresserer sårbarheten ved å korrigere hvordan Remote Desktop Services håndterer tilkoblingsforespørsler.

Chakra Scripting Engine Memory Corruption

EI(x,y): 1, N
Tittel CVE-2019-1131
CVE-2019-1139
CVE-2019-1140
CVE-2019-1141
CVE-2019-1195
CVE-2019-1196
CVE-2019-1197

Retter en sårbarhet i hvordan script motoren i Microsoft Edge håndterer objekter i minne. Sårbarheten gjør det mulig for angriper å manipulere minne på en slik måte at angriper kan eksekvere vilkårlig kode med samme privilegier som bruker. Sårbarheten kan utnyttes ved at angriper får bruker til å besøke en nettside med ondsinnet innhold.

Windows Hyper-V Remote Code Execution

EI(x,y): 2, 2
Tittel CVE-2019-0965

Microsoft Hyper-V inneholder en sårbarhet som kan føre til fjernekservering på en server som feiler med å validere inndata fra en uautentisert bruker på et gjesteoperativsystem. For å utnytte sårbarheten kan en angriper kjøre en spesielt utformet applikasjon på gjesteoperativsystemet som kan føre til at Hyper-V-serveren kjører vilkårlig kode. En angriper som vellykket utnytter sårbarheten kan kjøre vilkårlig kode på Hyper-V-operativsystemet. Sikkerhetsoppdateringen adresserer sårbarheten ved å rette opp i hvordan Hyper-V validerer gjesteoperativsystemets inndata fra brukeren.

Microsoft Outlook Remote Code Execution

EI(x,y): 2, 2
Tittel CVE-2019-1200

Microsoft Outlook inneholder en sårbarhet grunnet en feil i hvordan den håndterer objekter i minne. Sårbarheten kan utnyttes ved å få en bruker til å åpne en spesielt utformet fil. Dersom en angriper utnytter sårbarheten, kan de eksekvere vilkårlig kode med samme privilegier som nåværende bruker.

LNK Remote Code Execution Vulnerability

EI(x,y): 2, 2
Tittel CVE-2019-1188

Microsoft Windows har en sårbarhet i hvordan .LNK filer blir prosessert. Utnyttelse kan la en angriper oppnå samme rettigheter som den lokale brukeren. Sårbarheten kan utnyttes ved å få en bruker til å åpne en USB harddisk eller en lagringsplass på nettet med .LNK-filen og tilhørende ondsinnet programvare. Brukere som er konfigurert til å ha mindre rettigheter på systemet, kan være mindre utsatt enn brukere med administrator-rettigheter.

Windows VBScript Engine Remote Code

EI(x,y): 2, 2
Tittel CVE-2019-1183

En sårbarhet i hvordan VBScript engine håndterer objekter i minne. Sårbarheten lar en angriper korruptere minne på en slik måte at de kan eksekvere vilkårlig kode med samme rettigheter som nåværende bruker. Dersom brukeren har administrator-rettigheter så kan sårbarheten brukes til å ta kontroll over systemet. Sårbarheten kan utnyttes ved å lure brukeren til å åpne en ondsinnet nettside i Internet Explorer, eller med ett Microsoft Office dokument som bruker IE rendering engine.

Scripting Engine Memory Corruption

EI(x,y): 2, 2
Tittel CVE-2019-1194

Det er en sårbarhet i hvordan scripting engine i Internet Explorer håndterer objekter i minne. Sårbarheten lar en angriper korruptere minne på en slik måte at de kan eksekvere vilkårlig kode i samme kontekst som nåværende bruker. Dersom brukeren har administrator-rettigheter så kan sårbarheten brukes til å ta kontroll over systemet. Sårbarheten kan utnyttes ved å lure brukeren til å åpne en ondsinnet nettside i Internet Explorer, eller med ett Microsoft Office dokument som bruker IE rendering engine.

Windows DHCP Client Remote Code Execution

EI(x,y): 2, 2
Tittel CVE-2019-0736

Det er en minne-ødeleggelse sårbarhet i Windows DHCP klienten når en angriper sender en spesielt utformet DHCP respons til en klient. Utnyttelse av sårbarheten lar en angriper kjøre vilkårlig kode på klient-maskinen.

Hyper-V Remote Code Execution Vulnerability

EI(x,y): 2, 2
Tittel CVE-2019-0720

Windows Hyper-V Network Switch inneholder en sårbarhet som kan føre til fjerneksekvering av kode når hosten ikke klarer å validere input fra en autentisert bruker på ett gjesteoperativsystem. For å utnytte sårbarheten kan en angriper kjøre en spesielt utformet applikasjon på gjesteoperativsystemet som kan føre til at Hyper-V-serveren kjører vilkårlig kode. En angriper som vellykket utnytter sårbarheten kan kjøre vilkårlig kode på Hyper-V-operativsystemet. Sikkerhetsoppdateringen adresserer sårbarheten ved å rette opp i hvordan Hyper-V Network Switch validerer nettverkstrafikk fra gjesteoperativsystem.

Microsoft Graphics Remote Code Execution

EI(x,y): 2, 2
Tittel CVE-2019-1144
CVE-2019-1145
CVE-2019-1149
CVE-2019-1150
CVE-2019-1151
CVE-2019-1152

Det er en sårbarhet i hvordan Windows font biblioteket håndterer spesielt utformet embedded fonter. En angriper som klarer å utnytte sårbarheten kan ta kontroll over systemet. En bruker som har mindre rettigheter kan være mindre utsatt en brukere med administrator-rettigheter. Det er flere måter sårbarheten kan utnyttes. I ett web-basert angrepsscenario så kan angriper få en bruker til å se på en spesielt utformet nettside. En angriper kan også lure en bruker til å åpne ett spesielt utformet dokument.

Windows DHCP Server Remote Code Execution

EI(x,y): N, 2
Tittel CVE-2019-1213

En sårbarhet i hvordan DHCP servicen på Windows Server muliggjør fjerneksekvering av vilkårlig kode på sårbare systemer. Sårbarheten kan utnyttes ved å sende en spesielt utformet pakke til DHCP serveren.

Om Exploitability Index

For hver sårbarhet gir Microsoft en vurdering av sannsynligheten for at den skal kunne utnyttes. Dette kaller de «exploitability index».

En «exploitability index» på 0 betyr at Microsoft har observert utnyttelse. 1 betyr at Microsoft anser utnyttelse som sannsynlig og at det er lett å skrive stabil utnyttelseskode for sårbarheten. 2 betyr at utnyttelse er mindre sannsynlig og at stabil utnyttelseskode vil være vanskelig å produsere. 3 betyr at utnyttelse er usannsynlig. N betyr at sårbarheten ikke finnes i aktuell versjon av programvaren.

Det gis én verdi for den nyeste versjonen av det aktuelle produktet, og én verdi for de eldre/andre støttede versjonene. Vi markerer sårbarhetene under med (EI: x,y) hvor x er siste versjon, og y er eldre/andre versjoner.