Microsoft Sikkerhetsoppdateringer for juli 2019
Microsoft har offentliggjort sine månedlige sikkerhetsoppdateringer i kveld [1]. Det er totalt 79 bulletiner, hvor 15 er vurdert som kritiske. Flere av sårbarhetene kan utnyttes til å fjernkjøre kode og ta kontroll over brukere og systemer.
De kritiske sårbarhetene påvirker Windows sine nettlesere generelt, men spesielt Internet Explorer og Microsoft Edge, samt .NET-rammeverket, Azure DevOps Server, Team Foundation Server (TFS), Windows sin DHCP-tjener og Windows Graphics Device Interface (GDI). Disse sårbarhetene er gjennomgått med flere detaljer under.
Microsoft har i tillegg observert aktiv utnyttelse av to mindre kritiske sårbarheter: CVE-2019-0880 og CVE-2019-1132.
CVE-2019-0880 er en sårbarhet i hvordan Microsoft sin splwow64.exe håndterer visse kall, og som ved vellykket utnyttelse tillater lokal privilegieeskalering fra lav til medium integritet. Sårbarheten tillater
ikke kjøring av vilkårlig kode i seg selv, men kan kombineres med andre sårbarheter som tillater dette for å kjøre kode med høyere privilegier enn ellers ville vært mulig.
CVE-2019-1132 er en sårbarhet som skyldes at Microsoft sin Win32k-komponent feilhåndterer objekter i minnet. En angriper som utnytter sårbarheten kan kjøre vilkårlig kode i kernel-modus og vil sådan ha full
kontroll over systemet. For å utnytte sårbarheten må en angriper først logge seg på systemet og deretter kjøre et spesielt utformet program. Sårbarheten skal i tillegg bare kunne utnyttes på Windows 7 og Windows Server 2008 (R2).
Adobe [2] har også publisert oppdateringer for kritiske sårbarheter i Adobe Flash Player, Adobe Campaign Classic, Adobe ColdFusion, Adobe Media Encoder, Adobe Acrobat og Adobe Acrobat Reader, samt oppdateringer for mindre kritiske sårbarheter i andre Adobe-produkter.
De kritiske Adobe-sårbarhetene nevnt i varselet ble sluppet i mai og juni. Denne måneden ble det bare sluppet mindre kritiske oppdateringer for Adobe Dreamweaver, Adobe Experience Manager og Adobe Bridge CC.
Vi i NSM NorCERT anbefaler systemeiere å oppdatere programvaren på sine systemer til siste versjon så snart det lar seg gjøre.
Referanser:
Sårbarheter belyst i dette sårbarhetsvarselet:
Scripting Engine Memory Corruption
| Exploitability Index* (EI) | 1, 1 |
| Tittel | CVE-2019-1004 CVE-2019-1059 CVE-2019-1056 |
Internet Explorer har en kritisk sårbarhet i skriptmotoren som åpner for fjernkjøring av kode. En angriper som utnytter sårbarheten kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er en administrator, kan angriperen ta full kontroll over systemet. For å utnytte sårbarheten kan en angriper få en bruker til å besøke en spesielt utformet nettside med Internet Explorer. Sårbarheten kan også utnyttes via ActiveX i Microsoft Office-dokumenter som inneholder Internet Explorer sin renderingsmotor.
NET Framework Remote Code Execution
| EI (x,y) | 1, 1 |
| Tittel | CVE-2019-1113 |
.NET-rammeverket har en kritisk sårbarhet som åpner for fjernkjøring av kode. En angriper som utnytter sårbarheten kan kjøre vilkårlig kode i samme kontekst som den påloggede brukeren. Hvis den påloggede brukeren er en administrator, kan angriperen ta full kontroll over systemet. For å utnytte sårbarheten kan en angriper få en bruker til å åpne en spesielt utformet fil.
Scripting Engine Memory Corruption
| EI(x,y): | 1, 1 |
| Tittel | CVE-2019-1001 |
Microsofts nettlesere har en kritisk sårbarhet som åpner for fjernkjøring av kode. En angriper som utnytter sårbarheten kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er en administrator, kan angriperen ta full kontroll over systemet. For å utnytte sårbarheten kan en angriper få en bruker til besøke en spesielt utformet nettside med en Microsoft-nettleser. Sårbarheten kan også utnyttes via ActiveX i Microsoft Office-dokumenter som inneholder nettlesernes renderingsmotor.
Internet Explorer Memory Corruption
| EI(x,y): | 1, 1 |
| Tittel | CVE-2019-1063 |
Internet Explorer har en kritisk sårbarhet som åpner for fjernkjøring av kode. En angriper som utnytter sårbarheten kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er en administrator, kan angriperen ta full kontroll over systemet. For å utnytte sårbarheten kan en angriper få en bruker til å besøke en spesielt utformet nettside med Internet Explorer.
Chakra Scripting Engine Memory Corruption
| EI(x,y): | 1, N |
| Tittel | CVE-2019-1062 CVE-2019-1092 CVE-2019-1103 CVE-2019-1106 CVE-2019-1107 |
Microsoft Edge har en kritisk sårbarhet i Chakra-skriptmotoren som åpner for fjernkjøring av kode. En angriper som utnytter sårbarheten kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er en administrator, kan angriperen ta full kontroll over systemet. For å utnytte sårbarheten kan en angriper få en bruker til å besøke en spesielt utformet nettside med Microsoft Edge.
Azure DevOps Server and Team Foundation
| EI(x,y): | 2, 2 |
| Tittel | CVE-2019-1072 |
Azure DevOps Server og Team Foundation Server (TFS) har en kritisk sårbarhet som åpner for fjernkjøring av kode. En angriper som utnytter sårbarheten kan kjøre vilkårlig kode i samme kontekst som DevOps- eller TFS-tjenestekontoen. For å utnytte sårbarheten kan en angriper sende en spesielt utformet fil til en påvirket server. Dersom anonym tilgang til prosjekter er tillatt, kreves ikke autentisering for å utnytte sårbarheten.
Windows DHCP Server Remote Code Execution
| EI(x,y): | 2, 2 |
| Tittel | CVE-2019-0785 |
Windows Server DHCP-tjenesten har en kritisk sårbarhet som åpner enten for fjernkjøring av vilkårlig kode eller tjenestenekt. For å utnytte sårbarheten kan en angriper sende spesielt utformede pakker til en DHCP-tjener. For at angrepet skal lykkes, må DHCP-tjeneren være i failover-modus.
GDI+ Remote Code Execution Vulnerability
| EI(x,y): | 2, 2 |
| Tittel | CVE-2019-1102 |
Windows Graphics Device Interface (GDI) har en kritisk sårbarhet som åpner for fjernkjøring av kode. En angriper som utnytter sårbarheten kan ta full kontroll over systemet. For å utnytte sårbarheten kan en angriper få en bruker til å besøke en spesielt utformet nettside eller åpne en spesielt utformet fil.
*Om Exploitability Index
For hver sårbarhet gir Microsoft en vurdering av sannsynligheten for at den skal kunne utnyttes. Dette kaller de «exploitability index».
En «exploitability index» på 0 betyr at Microsoft har observert utnyttelse. 1 betyr at Microsoft anser utnyttelse som sannsynlig og at det er lett å skrive stabil utnyttelseskode for sårbarheten. 2 betyr at utnyttelse er mindre sannsynlig og at stabil utnyttelseskode vil være vanskelig å produsere. 3 betyr at utnyttelse er usannsynlig. N betyr at sårbarheten ikke finnes i aktuell versjon av programvaren.
Det gis én verdi for den nyeste versjonen av det aktuelle produktet, og én verdi for de eldre/andre støttede versjonene. Vi markerer sårbarhetene under med (EI: x,y) hvor x er siste versjon, og y er eldre/andre versjoner.