Microsoft har offentliggjort sine månedlige sikkerhetsoppdateringer i kveld [1]. Det er totalt 79 bulletiner, hvor 15 er vurdert som kritiske. Flere av sårbarhetene kan utnyttes til å fjernkjøre kode og ta kontroll over brukere og systemer.

De kritiske sårbarhetene påvirker Windows sine nettlesere generelt, men spesielt Internet Explorer og Microsoft Edge, samt .NET-rammeverket, Azure DevOps Server, Team Foundation Server (TFS), Windows sin DHCP-tjener og Windows Graphics Device Interface (GDI). Disse sårbarhetene er gjennomgått med flere detaljer under.

Microsoft har i tillegg observert aktiv utnyttelse av to mindre kritiske sårbarheter: CVE-2019-0880 og CVE-2019-1132.

CVE-2019-0880 er en sårbarhet i hvordan Microsoft sin splwow64.exe håndterer visse kall, og som ved vellykket utnyttelse tillater lokal privilegieeskalering fra lav til medium integritet. Sårbarheten tillater
ikke kjøring av vilkårlig kode i seg selv, men kan kombineres med andre sårbarheter som tillater dette for å kjøre kode med høyere privilegier enn ellers ville vært mulig.

CVE-2019-1132 er en sårbarhet som skyldes at Microsoft sin Win32k-komponent feilhåndterer objekter i minnet. En angriper som utnytter sårbarheten kan kjøre vilkårlig kode i kernel-modus og vil sådan ha full
kontroll over systemet. For å utnytte sårbarheten må en angriper først logge seg på systemet og deretter kjøre et spesielt utformet program. Sårbarheten skal i tillegg bare kunne utnyttes på Windows 7 og Windows Server 2008 (R2).

Adobe [2] har også publisert oppdateringer for kritiske sårbarheter i Adobe Flash Player, Adobe Campaign Classic, Adobe ColdFusion, Adobe Media Encoder, Adobe Acrobat og Adobe Acrobat Reader, samt oppdateringer for mindre kritiske sårbarheter i andre Adobe-produkter.

De kritiske Adobe-sårbarhetene nevnt i varselet ble sluppet i mai og juni. Denne måneden ble det bare sluppet mindre kritiske oppdateringer for Adobe Dreamweaver, Adobe Experience Manager og Adobe Bridge CC.

Vi i NSM NorCERT anbefaler systemeiere å oppdatere programvaren på sine systemer til siste versjon så snart det lar seg gjøre.

Referanser:

  1. https://portal.msrc.microsoft.com/en-us/security-guidance
  2. https://helpx.adobe.com/security.html

Sårbarheter belyst i dette sårbarhetsvarselet:

Scripting Engine Memory Corruption

Exploitability Index* (EI) 1, 1
Tittel CVE-2019-1004
CVE-2019-1059
CVE-2019-1056

Internet Explorer har en kritisk sårbarhet i skriptmotoren som åpner for fjernkjøring av kode. En angriper som utnytter sårbarheten kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er en administrator, kan angriperen ta full kontroll over systemet. For å utnytte sårbarheten kan en angriper få en bruker til å besøke en spesielt utformet nettside med Internet Explorer. Sårbarheten kan også utnyttes via ActiveX i Microsoft Office-dokumenter som inneholder Internet Explorer sin renderingsmotor.


NET Framework Remote Code Execution

EI (x,y) 1, 1
Tittel CVE-2019-1113

.NET-rammeverket har en kritisk sårbarhet som åpner for fjernkjøring av kode. En angriper som utnytter sårbarheten kan kjøre vilkårlig kode i samme kontekst som den påloggede brukeren. Hvis den påloggede brukeren er en administrator, kan angriperen ta full kontroll over systemet. For å utnytte sårbarheten kan en angriper få en bruker til å åpne en spesielt utformet fil.

Scripting Engine Memory Corruption

EI(x,y): 1, 1
Tittel CVE-2019-1001

Microsofts nettlesere har en kritisk sårbarhet som åpner for fjernkjøring av kode. En angriper som utnytter sårbarheten kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er en administrator, kan angriperen ta full kontroll over systemet. For å utnytte sårbarheten kan en angriper få en bruker til besøke en spesielt utformet nettside med en Microsoft-nettleser. Sårbarheten kan også utnyttes via ActiveX i Microsoft Office-dokumenter som inneholder nettlesernes renderingsmotor.

Internet Explorer Memory Corruption

EI(x,y): 1, 1
Tittel CVE-2019-1063

Internet Explorer har en kritisk sårbarhet som åpner for fjernkjøring av kode. En angriper som utnytter sårbarheten kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er en administrator, kan angriperen ta full kontroll over systemet. For å utnytte sårbarheten kan en angriper få en bruker til å besøke en spesielt utformet nettside med Internet Explorer.

Chakra Scripting Engine Memory Corruption

EI(x,y): 1, N
Tittel CVE-2019-1062
CVE-2019-1092
CVE-2019-1103
CVE-2019-1106
CVE-2019-1107

Microsoft Edge har en kritisk sårbarhet i Chakra-skriptmotoren som åpner for fjernkjøring av kode. En angriper som utnytter sårbarheten kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er en administrator, kan angriperen ta full kontroll over systemet. For å utnytte sårbarheten kan en angriper få en bruker til å besøke en spesielt utformet nettside med Microsoft Edge.

Azure DevOps Server and Team Foundation

EI(x,y): 2, 2
Tittel CVE-2019-1072

Azure DevOps Server og Team Foundation Server (TFS) har en kritisk sårbarhet som åpner for fjernkjøring av kode. En angriper som utnytter sårbarheten kan kjøre vilkårlig kode i samme kontekst som DevOps- eller TFS-tjenestekontoen. For å utnytte sårbarheten kan en angriper sende en spesielt utformet fil til en påvirket server. Dersom anonym tilgang til prosjekter er tillatt, kreves ikke autentisering for å utnytte sårbarheten.

Windows DHCP Server Remote Code Execution

EI(x,y): 2, 2
Tittel CVE-2019-0785

Windows Server DHCP-tjenesten har en kritisk sårbarhet som åpner enten for fjernkjøring av vilkårlig kode eller tjenestenekt. For å utnytte sårbarheten kan en angriper sende spesielt utformede pakker til en DHCP-tjener. For at angrepet skal lykkes, må DHCP-tjeneren være i failover-modus.

GDI+ Remote Code Execution Vulnerability

EI(x,y): 2, 2
Tittel CVE-2019-1102

Windows Graphics Device Interface (GDI) har en kritisk sårbarhet som åpner for fjernkjøring av kode. En angriper som utnytter sårbarheten kan ta full kontroll over systemet. For å utnytte sårbarheten kan en angriper få en bruker til å besøke en spesielt utformet nettside eller åpne en spesielt utformet fil.

*Om Exploitability Index

For hver sårbarhet gir Microsoft en vurdering av sannsynligheten for at den skal kunne utnyttes. Dette kaller de «exploitability index».

En «exploitability index» på 0 betyr at Microsoft har observert utnyttelse. 1 betyr at Microsoft anser utnyttelse som sannsynlig og at det er lett å skrive stabil utnyttelseskode for sårbarheten. 2 betyr at utnyttelse er mindre sannsynlig og at stabil utnyttelseskode vil være vanskelig å produsere. 3 betyr at utnyttelse er usannsynlig. N betyr at sårbarheten ikke finnes i aktuell versjon av programvaren.

Det gis én verdi for den nyeste versjonen av det aktuelle produktet, og én verdi for de eldre/andre støttede versjonene. Vi markerer sårbarhetene under med (EI: x,y) hvor x er siste versjon, og y er eldre/andre versjoner.