NCSC ønsker å informere om at det nå finnes POC til tre av sårbarhetene fra Microsoft sin månedlige sikkerhetsoppdatering [1], hvorav en av disse er offentlig publisert. NCSC har tidligere varslet om disse sårbarhetene i [2].

CVE-2020-16898

Sikkerhetsselskapet Sophos har presentert POC som gjør det mulig å kræsje en sårbar Windows-maskin over nettet ved hjelp av et enkelt python script[3].

Det finnes ifølge Sophos to mulige mitigeringer:

    1. Skru av IPv6 på den sårbare maskinen.

    2. Skru av IPv6 ICMP RDNSS på den sårbare maskinen.

NCSC anbefaler virksomheten å gjøre en vurdering om deres bruk av

IPv6 før slike tiltak iverksettes.

Merk: Ingen offentlig POC publisert.

CVE-2020-16938

Twitter-brukeren @JonasLyk har presentert POC som gjør det mulig for en bruker å lese rådata fra disker koblet til en maskin [4]. Dette gir ikke direkte RCE muligheter, men passordhasher hentet fra "Windows Security Account Manager"-databasefilen kan videre brukes til å fasilitere eksekvering av kode [5].

Merk: Ingen offentlig POC publisert.

CVE-2020-16952

"Source Incite" har publisert POC som gjør det mulig for en autentisert angriper å kjøre kode på en sårbar Sharepoint-server, i konteksten av lokal administrator [6,7].

Merk: POC publisert offentlig [7].

NCSC anbefaler alle å oppdatere sårbare systemer.

Referanser:

[1] https://portal.msrc.microsoft.com/en-us/security-guidance

[2] Microsoft patchetirsdag oktober 2020 [3] https://nakedsecurity.sophos.com/2020/10/14/windows-ping-of-death-bug-revealed-patch-now/

[4] https://twitter.com/jonasLyk/status/1316104870987010048

[5] https://twitter.com/jonasLyk/status/1316141117059067905

[6] https://srcincite.io/advisories/src-2020-0022/

[7] https://srcincite.io/pocs/cve-2020-16952.py.txt

[8] https://helpx.adobe.com/security.html