Microsoft sikkerhetsoppdateringer for mars 2019
De 18 kritiske bulletinene angår hovedsaklig skriptmotorene som benyttes av nettleserne Internet Explorer og Microsoft Edge. Vi ser også enkelte sårbarheter i Windows sin DHCP klient og Windows sin TFTP server denne måneden.
Adobe har også offentliggjort sikkerhetsoppdateringer [2] for Adobe Photoshop CC og Adobe Digital Editions. Adobe vurderer disse til laveste prioritet.
Sårbarheter belyst i dette sårbarhetsvarselet:
Windows VBScript Engine Remote Code
| Exploitability index(x,y): | 1, 1 |
| Tittel | CVE-2019-0666 CVE-2019-0667 |
Skriptmotoren VBScript inneholder en sårbarhet som er forårsaket av hvordan skriptmotoren behandler objekter i minnet. Sårbarheten, som kan føre til fjernekservering, utnyttes ved å endre minnet på en slik måte at den legger til rette for at en angriper kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. For at angriperen skal lykkes med å utnytte
sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside med Internet Explorer. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren. En
angriper kan også inkludere en ActiveX kontrol markert som "safe for initilization" i en applikasjon eller et Microsoft Office dokument som benytter IE sin renderingsmotor.
Internet Explorer Memory Corruption
| EI(x,y): | 1, 1 |
| Tittel | CVE-2019-0763 |
Internet Explorer inneholder en sårbarhet som har rot i hvordan Internet Explorer henter objekter i minnet. En angriper kan utnytte sårbarheten ved å modifisere minnet slik at han/hun får samme tilgang som den påloggede brukeren. Dersom denne brukeren har administrative rettigheter kan dermed angriperen få full tilgang til systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside gjennom Internet Explorer. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.
Scripting Engine Memory Corruption
| EI(x,y): | 1, N |
| Tittel | CVE-2019-0769 CVE-2019-0770 CVE-2019-0771 CVE-2019-0773 |
Skriptmotoren i Internet Explorer inneholder en sårbarhet som er forårsaket av hvordan skriptmotoren behandler objekter i minnet. Sårbarheten, som kan føre til fjernekservering, utnyttes ved å endre minnet på en slik måte at den legger til rette for at en angriper kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside med Internet Explorer. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.
Chakra Scripting Engine Memory Corruption
| EI(x,y): | 1, N |
| Tittel | CVE-2019-0592 |
Skriptmotoren ChakraCore inneholder en sårbarhet som har rot i hvordan skriptmotoren behandler objekter i minnet i Microsoft Edge. Sårbarheten, som kan føre til fjernekservering, utnyttes ved å endre minnet på en slik måte at den legger til rette for at en angriper kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside med Microsoft Edge. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.
Scripting Engine Memory Corruption
| EI(x,y): | 1, N |
| Tittel | CVE-2019-0639 |
Skriptmotoren ChakraCore inneholder en sårbarhet som har rot i hvordan skriptmotoren behandler objekter i minnet. En angriper kan utnytte sårbarheten ved å modifisere minnet slik at han/hun får samme tilgang som den påloggede brukeren. Dersom denne brukeren har administrative rettigheter kan dermed angriperen få full tilgang til systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside gjennom en av Microsofts nettlesere. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.
Scripting Engine Memory Corruption
| EI(x,y): | 1, N |
| Tittel | CVE-2019-0680 |
Skriptmotoren i Windows inneholder en sårbarhet som er forårsaket av hvordan skriptmotoren behandler objekter i minnet i Internet Explorer. Sårbarheten, som kan føre til fjernekservering, utnyttes ved å endre minnet på en slik måte at den legger til rette for at en angriper kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. For at angriperen kal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside med Internet Explorer. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren. En angriper kan også inkludere en ActiveX kontrol markert som "safe for initilization" i en applikasjon eller et Microsoft Office dokument som benytter IE sin renderingsmotor.
Scripting Engine Memory Corruption
| EI(x,y): | 1, N |
| Tittel | CVE-2019-0609 |
Microsofts nettlesere inneholder en sårbarhet som har rot i hvordan den interne skriptmotoren behandler objekter i minnet. En angriper kan utnytte sårbarheten ved å modifisere minnet slik at han/hun får samme tilgang som den påloggede brukeren. Dersom denne brukeren har administrative rettigheter kan dermed angriperen få full tilgang til systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside gjennom en av Microsofts nettlesere. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren, eller ved å sette inn en ActiveX-kontroll flagget som "safe for initialization" i et program eller i et Office-dokument.
Windows ActiveX Remote Code Execution
| EI(x,y): | 2, 2 |
| Tittel | CVE-2019-0784 |
ActiveX Data objects (ADO) inneholder en sårbarhet som er forårsaket av hvordan programvaren behandler objekter i minnet. Sårbarheten, som kan føre til fjernekservering, utnyttes ved å endre minnet på en slik måte at den legger til rette for at en angriper kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside med Internet Explorer. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren. En angriper kan også inkludere en ActiveX kontrol markert som "safe for initilization" i en applikasjon eller et Microsoft Office dokument som benytter IE sin renderingsmotor.
Windows DHCP Client Remote Code Execution
| EI(x,y): | 2, 2 |
| Tittel | CVE-2019-0697 CVE-2019-0698 CVE-2019-0726 |
Windows DHCP klient inneholder en sårbarhet i hvordan programvaren håndterer DHCP responser send til klienten. En angriper som utnytter sårbarheten kan kjøre vilkårlig kode på klientmaskinen. For å utnytte sårbarheten må angriperen sende spesielt utformede DHCP responser til klienten.
Windows Deployment Services TFTP Server
| EI(x,y): | 2, 2 |
| Tittel | CVE-2019-0603 |
Windows TFTP serveren inneholder en sårbarhet som er forårsaket av hvordan skriptmotoren behandler objekter i minnet. En angriper som utnytter sårbarheten kan eksekvere kode med utvide rettigheter. For å utnytte sårbarheten må angriperen lage spesielt utformede forespørsler som får Windows til å eksekvere vilkårlig kode med utvidede rettigheter.
MS XML Remote Code Execution Vulnerability
| EI(x,y): | 2, 2 |
| Tittel | CVE-2019-0756 |
I Microsoft XML Core Services er det en MSXML-parser som inneholder en sårbarhet som har rot i hvordan XML leser inndata fra brukeren. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside gjennom Internet Explorer, som vil da kjøre angriperens kode. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.
Vi i NorCERT anbefaler alle å oppdatere programvaren på sine systemer til siste versjon.
Se Microsoft [1] og Adobe [2] sine nettsider for flere detaljer.
Om Exploitability Index*
For hver sårbarhet gir Microsoft en vurdering av sannsynligheten for at den skal kunne utnyttes. Dette kaller de «exploitability index». En «exploitability index» på 1 betyr at Microsoft anser det som lett
å skrive stabil utnyttelseskode for sårbarheten. 0 betyr at utnyttelse er observert, mens N betyr at sårbarheten ikke finnes i den/de versjonen(e) av programvaren. Det gis én verdi for den nyeste versjonen av det aktuelle produktet, og én verdi for de andre støttede versjonene. Vi markerer sårbarhetene under med (EI: x,y) hvor x er siste versjon, og y er resterende.