Microsoft sikkerhetsoppdatering for september 2019

Publisert: 30.09.2019

Microsoft har offentliggjort sine månedlige sikkerhetsoppdateringer [1]. Det er totalt 80 bulletiner, hvor 19 er vurdert som kritiske.

Sårbarheter belyst i dette sårbarhetsvarselet

Remote Desktop Client Remote Code Execution

Exploitability Index*  - EI(x,y): 1, 1
Tittel:  CVE-2019-0787
CVE-2019-0788
CVE-2019-1290
CVE-2019-1291

Windows Remote Desktop Client inneholder en sårbarhet som oppstår kun ved at en bruker kobler seg opp mot en ondsinnet server. En angriper som kontrollerer serveren kan kjøre vilkårlig kode på brukerens klient, i tillegg til å installere applikasjoner, se, endre og modifisere data, eller opprette nye brukerkontoer med fulle brukerrettigheter. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun lure brukeren til å koble seg opp mot sin server. Dette kan gjøres med metoder som "social engineering", DNS-poisoning, eller ved et MITM-angrep. Alternativt kan angriperen kompromittere en legitim server, plante ondisnnet kode på den og vente på at brukeren kobler seg opp.

Microsoft SharePoint Remote Code Execution

EI(x,y): 1, 1
Tittel CVE-2019-1295
CVE-2019-1296

Microsoft SharePoint inneholder en sårbarhet som har rot i APIer behandler usikker inndata. En angriper kan ved å utnytte sårbarheten kjøre vilkårlig kode i kontekst av "SharePoint application pool" og "SharePoint server farm account". For at angriperen skal lykkes med å utnytte sårbarheten må han/hun ha tilgang til APIene til en berørt versjon av SharePoint.

Microsoft SharePoint Remote Code Execution

EI(x,y): 1, 1
Tittel:  CVE-2019-1257

Microsoft SharePoint inneholder en sårbarhet som har rot i hvordan programvaren feilaktig behandler markup i pakkedata til applikasjoner. En angriper kan ved å utnytte sårbarheten kjøre vilkårlig kode i kontekst av "SharePoint application pool" og "SharePoint server farm account". For at angriperen skal lykkes med å utnytte sårbarheten må han/hun laste opp en spesielt utformet SharePoint-applikasjon til en berørt versjon av SharePoint.

Chakra Scripting Engine Memory Corruption

EI(x,y): 2, 2
Tittel CVE-2019-1237
CVE-2019-1138
CVE-2019-1217
CVE-2019-1298
CVE-2019-1300

Skriptmotoren ChakraCore inneholder en sårbarhet som har rot i hvordan skriptmotoren behandler objekter i minnet i Microsoft Edge. Sårbarheten, som kan føre til fjernekservering, utnyttes ved å endre minnet på en slik måte at den legger til rette for at en angriper kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside med Microsoft Edge. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.

LNK Remote Code Execution Vulnerability

EI(x,y): 2, 2
Tittel CVE-2019-1280

Microsoft Windows inneholder en sårbarhet som har rot i hvordan operativsystemet prosesserer .LNK-filer. En angriper kan ved å utnytte sårbarheten oppnå samme rettigheter som den påloggede brukeren. Brukere som er satt opp med begrensende rettigheter vil være mindre utsatt enn brukere med administraive rettigheter. Sårbarheten kan utnyttes ved at angriperen får brukeren til å åpne en filsti som inneholder en ondsinnet .LNK-fil med en ondsinnet ekserverbar fil. Denne filstien kan f.eks. være på en minnepenn eller en nettverkslokasjon. Når brukeren åpner filstien i Windows Explorer eller en annen applikasjon leses da .LNK-filen som igjen vil kjøre angriperens kode.

VBScript Remote Code Execution

EI(x,y): 2, 2
Tittel CVE-2019-1208
CVE-2019-1236


Skriptmotoren VBScript inneholder en sårbarhet som har rot i hvordan skriptmotoren behandler objekter i minnet. Sårbarheten utnyttes ved å endre minnet på en slik måte at den legger til rette for at en angriper kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke
en spesielt utformet nettside med Internet Explorer. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren. Angriperen kan også pakke inn et spesielt utformet ActiveX-objekt i en applikasjon eller i et Microsoft Office-document som benytter seg av Internet Explorer internt for å presentere ActiveX-objektet.

September 2019 Adobe Flash Security Update

EI(x,y): 2, 2
Tittel ADV190022

Denne oppdateringen adresserer CVE-ene CVE-2019-8069- og 8070 i Adobe Flash. Se Adobe Security Bulletin APSB19-46 for mer informasjon.

Azure DevOps and Team Foundation Server

EI (x,y) 2, 2
Tittel CVE-2019-1306

Azure DevOps Server (ADO) og Team Foundation Server (TFS) inneholder en sårbarhet som rot i hvordan programvarene validerer inndata. En angriper kan kjøre kode på serveren med rettighetene til TFS eller ADO sine brukerkontoer. Sårbarheten utnyttes ved at angriperen laster opp en spesielt utformet fil til en sårbar instans av ADO eller TFS server repo og vente på at systemene indekserer filen.

Scripting Engine Memory Corruption

EI(x,y): 2, N
Tittel CVE-2019-1221

Skriptmotoren i Windows inneholder en sårbarhet som har rot i hvordan skriptmotoren behandler objekter i minnet tilhørende Internet Explorer. Sårbarheten utnyttes ved å endre minnet på en slik måte at den legger til rette for at en angriper kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside med Internet Explorer. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren. Alterativt kan angriperen kompromittere nettsider som tillater opplasting av innhold av brukere, eller reklame. I tillegg kan angriperen kan også pakke inn et spesielt utformet ActiveX-objekt i en applikasjon eller i et Microsoft Office-document som benytter seg av Internet Explorer internt for å presentere ActiveX-objektet.

Se Microsoft [1] og Adobe [2] sine nettsider for flere detaljer.

NorCERT anbefaler alle å oppdatere programvaren på sine systemer til siste versjon.

Referanser:

  1. https://portal.msrc.microsoft.com/en-us/security-guidance
  2. https://helpx.adobe.com/security.html

Om Exploitability Index

For hver sårbarhet gir Microsoft en vurdering av sannsynligheten for at den skal kunne utnyttes. Dette kaller de «exploitability index». En «exploitability index» på 1 betyr at Microsoft anser det som lett
å skrive stabil utnyttelseskode for sårbarheten. 0 betyr at utnyttelse er observert, mens N betyr at sårbarheten ikke finnes i den/de versjonen(e) av programvaren. Det gis én verdi for den nyeste versjonen av det aktuelle produktet, og én verdi for de andre støttede versjonene. Vi markerer sårbarhetene under med (EI: x,y) hvor x er siste versjon, og y er resterende.