Microsoft har offentliggjort sine månedlige sikkerhetsoppdateringer [1]. Denne måneden er det mange kritiske sårbarheter. Berørt programvare er nettleserne Microsoft Edge og Internet Explorer, DHCP serveren til Microsoft, Microsoft Sharepoint og grafikkbiblioteket Windows GDI+.

Sårbarheter belyst i dette sårbarhetsvarselet:

February 2019 Adobe Flash Security Update

Exploitability Index* - EI(x,y): 1, 1
Referanse ADV190003

Denne sikkerhetsoppdateringen retter følgende sårbarhet, som er beskrevet i Adobe Security Bulletin APSB19-08: CVE-2019-7090.

Scripting Engine Memory Corruption

EI(x,y): 1, N
CVE-referanser CVE-2019-0607
CVE-2019-0642
CVE-2019-0644
CVE-2019-0651
CVE-2019-0655
CVE-2019-0591
CVE-2019-0593
CVE-2019-0605

Microsoft Edge har en sårbarhet som tillater fjernkjøring av vilkårlig kode, noe som skal skyldes inkorrekt håndtering av objekter i minnet. En angriper som utnytter sårbarheten kan tilegne seg samme rettigheter som den aktive brukeren. Dersom brukeren har administrative rettigheter, kan angriper ta kontroll over et påvirket system. For å utnytte sårbarheten kan en angriper overtale en bruker til å besøke en spesielt utformet nettside med Microsoft Edge. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren. Oppdateringen adresserer sårbarheten ved å endre hvordan Microsoft Edge håndterer objekter i minnet.

Microsoft Edge Memory Corruption

EI(x,y): 1, N
CVE-referanser CVE-2019-0645
CVE-2019-0650
CVE-2019-0634

Microsoft Edge har en sårbarhet som tillater fjernkjøring av vilkårlig kode, noe som skal skyldes inkorrekt håndtering av objekter i minnet. En angriper som utnytter sårbarheten kan tilegne seg samme rettigheter som den aktive brukeren. Dersom brukeren har administrative rettigheter, kan angriper ta kontroll over et påvirket system. For å utnytte sårbarheten kan en angriper overtale en bruker til å besøke en spesielt utformet nettside med Microsoft Edge. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren. Oppdateringen adresserer sårbarheten ved å endre hvordan Microsoft Edge håndterer objekter i minnet.

Internet Explorer Memory Corruption

EI(x,y): 1, N
  CVE-2019-0606

Internet Explorer inneholder en sårbarhet i hvordan Internet Explorer henter objekter i minnet. En angriper kan utnytte sårbarheten ved å modifisere minnet slik at han/hun får samme tilgang som den påloggede brukeren. Dersom denne brukeren har administrative rettigheter kan dermed angriperen få full tilgang til systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside gjennom Internet Explorer. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.

Windows DHCP Server Remote Code Execution

EI(x,y): 2, 2
CVE-referanse CVE-2019-0626

Det finnes en sårbarhet i Windows DHCP tjenesten. Den kan utnyttes gjennom å sende skreddersydde pakker til DHCP serveren. En angriper som utnytter sårbarheten kan kjøre vilkårlig kode på DHCP serveren. Sikkerhetsoppdateringen korrigerer hvordan Windows DHCP tjenesten håndterer nettverkspakker.

Microsoft SharePoint Remote Code Execution

EI(x,y):  2, 2
CVE-referanse CVE-2019-0594
CVE-2019-0604

Microsoft SharePoint har en sårbarhet som tillater fjernkjøring av vilkårlig kode, noe som skal skyldes manglende inputsjekking av markeringsspråket til en applikasjonspakke. En angriper som utnytter sårbarheten kan tilegne seg samme rettigheter som Sharepoint applikasjonen. For å utnytte sårbarheten må man laste opp en skredderskydd SharePoint applikasjonspakke til en SharePoint instans som er berørt av sårbarheten. Denne oppdateringen adresserer sårbarheten ved å endre hvordan Microsoft Edge håndterer markeringsspråket til en applikasjonspakke. 

GDI+ Remote Code Execution Vulnerability

EI(x,y): 2, 2
CVE-referanse CVE-2019-0662
CVE-2019-0618

Windows GDI+ har en sårbarhet som tillater fjernkjøring av vilkårlig kode, noe som skal skyldes inkorrekt håndtering av objekter i minnet. En angriper som utnytter sårbarheten kan tilegne seg samme rettigheter som den aktive brukeren. Dersom brukeren har administrative rettigheter, kan angriper ta kontroll over et påvirket system. Det finnes flere måter å utnytte sårbarheten. I et web-basert angrepsscenario kan en angriper opprette en webside som er myntet på å utnytte sårbarheten og dermed be brukerne besøke nettsiden. I et fil-basert angrepsscenario kan en angriper sende en skredersydd fil som er myntet på å utnytte sårbarheten og dermed overbevise brukeren om å åpne filen. Oppdateringen adresserer sårbarheten ved å endre hvordan Windows GDI+ håndterer objekter i minnet.

Se Microsoft [1] og Adobe [2] sine nettsider for flere detaljer.

Vi i NorCERT anbefaler alle å oppdatere programvaren på sine systemer til siste versjon.

Referanser:

  1. https://portal.msrc.microsoft.com/en-us/security-guidance
  2. https://helpx.adobe.com/security.html

Om Exploitability Index*

For hver sårbarhet gir Microsoft en vurdering av sannsynligheten for at den skal kunne utnyttes. Dette kaller de «exploitability index». En «exploitability index» på 1 betyr at Microsoft anser det som lett
å skrive stabil utnyttelseskode for sårbarheten. 0 betyr at utnyttelse er observert, mens N betyr at sårbarheten ikke finnes i den/de versjonen(e) av programvaren. Det gis én verdi for den nyeste versjonen av det aktuelle produktet, og én verdi for de andre støttede versjonene. Vi markerer sårbarhetene under med (EI: x,y) hvor x er siste versjon, og y er resterende.