Microsoft sikkerhetsoppdateringer for januar 2020

Publisert: 14.01.2020

Utnyttelse av sårbarheten CVE-2020-0601, kan blant annet tillate en angriper å utføre man-in-the-middle-angrep og dekryptere skjult informasjon om brukertilkoblinger.

Sårbarhetene kan utnyttes til å ta kontroll over brukere og systemer

Microsoft har offentliggjort sine månedlige sikkerhetsoppdateringer [1]. Det er totalt 49 bulletiner, hvorav 7 av disse er vurdert som kritiske. Flere av sårbarhetene kan utnyttes til å fjernkjøre kode og ta kontroll over brukere og systemer.

De kritiske sårbarhetene påvirker blant annet Windows Remote Dekstop ClientASP.Net Core programvaren, Microsoft .NET Framework og Windows Remote Desktop Protocol (RDP) Gateway Server. Disse sårbarhetene er beskrevet mer detaljert under.

CVE-2020-0601 | Windows CryptoAPI Spoofing sårbarhet

NCSC ønsker å rette oppmerksomhet mot Windows CryptoAPI Spoofing sårbarhet, (CVE-2020-0601)som i dag har vært mye omtalt i åpne kilder. Utnyttelse av denne sårbarheten kan blant annet tillate en angriper å utføre man-in-the-middle-angrep og dekryptere skjult informasjon om brukertilkoblinger.

Microsoft har ikke observert aktiv utnyttelse av noen av disse sårbarhetene som ble publisert i kveld. Se Microsoft [1] sine nettsider for flere detaljer.

Adobe har også publisert [2] kritiske sikkerhetsoppdateringer for Adobe Illustrator CC, samt viktige oppdateringer for Adobe Experience Manager.

Vi i NCSC anbefaler systemeiere å oppdatere programvaren på sine systemer til siste versjon så snart det lar seg gjøre.

End of life for Windows 7

Vi i NCSC ønsker også å gjøre oppmerksom på at Windows 7, Windows Server 2008 og Windows Server 2008 R2 når end of life i dag. Etter dette vil de ikke lenger få oppdateringer fra Microsoft. NCSC anbefaler derfor at man oppgraderer systemer som kjører dette til en nyere versjon av operativsystemet.

Se Microsoft og Adobe sine nettsider for flere detaljer om sårbarhetene:

  1. https://portal.msrc.microsoft.com/en-us/security-guidance
  2. https://helpx.adobe.com/security.html
  3. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601

CVE-2020-0611 | Remote Desktop Client Remote Code Execution

Exploitability Index* 2, 2

Windows Remote Desktop Client har en sårbarhet som tillater fjernkjøring av kode når en bruker kobler seg til en ondsinnet server. En angriper som utnytter denne sårbarheten kan kjøre vilkårlig kode hos den tilkoblete brukerens maskin. Angriperen kan deretter installere programmer; se, endre og slette data; eller lage nye brukere med alle brukerrettigheter. For å utnytte denne sårbarheten må angriperen ha kontroll over en server og deretter overbevise brukeren om å koble seg til den.

CVE-2020-0603 | ASP.NET Core Remote Code Execution

EI(x,y): 2, 2

ASP.NET Core programvaren har en kritisk sårbarhet som tillater fjernkjøring av kode. Dette forekommer når håndtering av objekter i minnet feiler. En angriper som utnytter sårbarheten kan kjøre vilkårlig kode som den påloggede brukeren. Om brukeren er en administrator kan angriper få full kontroll over systemet. For å utnytte sårbarheten kreves det at brukeren åpner en spesielt utformet fil med en berørt versjon av ASP.NET Core. Dette kan for eksempel gjøres ved at angriper sender filen i en e-post til brukeren som brukeren deretter åpner.

.NET Framework Remote Code Execution

EI(x,y): 2, 2
Referanse CVE-2020-0605
CVE-2020-0606

.NET programvaren har en kritisk sårbarhet som tillater fjernkjøring av kode ved at programvaren feiler å sjekke source-markupen til en fil. En angriper som utnytter sårbarheten kan kjøre vilkårlig kode som den påloggede brukeren. Om brukeren er en administrator kan angriper få full kontroll over systemet. For å
utnytte sårbarheten kreves det at brukeren åpner en spesielt utformet fil med en berørt versjon av ASP.NET Core. Dette kan for eksempel gjøres ved at angriper sender filen i en e-post til brukeren som brukeren deretter åpner.

CVE-2020-0646 | .NET Framework Remote Code Execution

EI(x,y):  2,2

Microsoft .NET Framework har en sårbarhet som tillater fjernkjøring av kode. Sårbarheten forekommer av at Microsoft .NET Framework feiler med å validere input riktig. En angriper som utnytter denne  sårbarheten kan ta kontroll over det berørte systemet. For å utnytte denne sårbarheten må en angriper få sendt en spesifikk input til en applikasjon ved bruk av utsatte .Net metoder.

Windows RDP Gateway Server Remote Code

EI(x,y): N, 1
Referanse CVE-2020-0609
CVE-2020-0610

Windows Remote Dekstop Protocol (RDP) Gateway Server har en sårbarhet som tillater fjernkjøring av kode når en uautentisert angriper kobler seg til et system via RDP og sender spesielt utformete spørringer. Denne sårbarheten skjer før autentisering og trenger ingen bruker interaksjon. En angriper som utnytter denne sårbarheten kan kjøre vilkårlig kode hos den tilkoblete brukerens maskin. Angriperen kan deretter installere programmer; se, endre og slette data; eller lage nye brukere med alle brukerrettigheter. For å utnytte denne sårbarheten må angriper sende spesielt utformete spørringer mot et systems RDP Gateway via RDP.

Om *Exploitability Index

For hver sårbarhet gir Microsoft en vurdering av sannsynligheten for at den skal kunne utnyttes. Dette kaller de «exploitability index».

En «exploitability index» på 0 betyr at Microsoft har observert utnyttelse. 1 betyr at Microsoft anser utnyttelse som sannsynlig og at det er lett å skrive stabil utnyttelseskode for sårbarheten. 2 betyr at utnyttelse er mindre sannsynlig og at stabil utnyttelseskode vil være vanskelig å produsere. 3 betyr at utnyttelse er usannsynlig. N betyr at sårbarheten ikke finnes i aktuell versjon av programvaren.

Det gis én verdi for den nyeste versjonen av det aktuelle produktet, og én verdi for de eldre/andre støttede versjonene. Vi markerer sårbarhetene under med (EI: x,y) hvor x er siste versjon, og y er eldre/andre versjoner.