POC til sårbarheter fra Microsoft patchetirsdag oktober 2020
NCSC ønsker å informere om at det nå finnes POC til tre av sårbarhetene fra Microsoft sin månedlige sikkerhetsoppdatering [1], hvorav en av disse er offentlig publisert. NCSC har tidligere varslet om disse sårbarhetene i [2].
CVE-2020-16898
Sikkerhetsselskapet Sophos har presentert POC som gjør det mulig å kræsje en sårbar Windows-maskin over nettet ved hjelp av et enkelt python script[3].
Det finnes ifølge Sophos to mulige mitigeringer:
1. Skru av IPv6 på den sårbare maskinen.
2. Skru av IPv6 ICMP RDNSS på den sårbare maskinen.
NCSC anbefaler virksomheten å gjøre en vurdering om deres bruk av
IPv6 før slike tiltak iverksettes.
Merk: Ingen offentlig POC publisert.
CVE-2020-16938
Twitter-brukeren @JonasLyk har presentert POC som gjør det mulig for en bruker å lese rådata fra disker koblet til en maskin [4]. Dette gir ikke direkte RCE muligheter, men passordhasher hentet fra "Windows Security Account Manager"-databasefilen kan videre brukes til å fasilitere eksekvering av kode [5].
Merk: Ingen offentlig POC publisert.
CVE-2020-16952
"Source Incite" har publisert POC som gjør det mulig for en autentisert angriper å kjøre kode på en sårbar Sharepoint-server, i konteksten av lokal administrator [6,7].
Merk: POC publisert offentlig [7].
NCSC anbefaler alle å oppdatere sårbare systemer.
Referanser:
[1] https://portal.msrc.microsoft.com/en-us/security-guidance
[2] Microsoft patchetirsdag oktober 2020 [3] https://nakedsecurity.sophos.com/2020/10/14/windows-ping-of-death-bug-revealed-patch-now/
[4] https://twitter.com/jonasLyk/status/1316104870987010048
[5] https://twitter.com/jonasLyk/status/1316141117059067905
[6] https://srcincite.io/advisories/src-2020-0022/