Microsoft sikkerhetsoppdateringer for oktober 2017

Publisert: 11.10.2017

Det er totalt 65 bulletiner, hvor 26 er vurdert som kritiske.

Microsoft har offentliggjort sine månedlige sikkerhetsoppdateringer [1]. 

Denne månedens sikkerhetsoppdatering retter opp flere sårbarheter i Microsoft sine nettlesere. Selv om disse sårbarhetene er kritiske, har de ikke blitt observert utnyttet.

Dette er med unntak av CVE-2017-11826 [2]. Dette er en minnekorrupsjonssårbarhet, hvilket betyr at man kan, med en spesiallaget fil, skaffe seg rettigheter for fjerneksekvering av kode på maskiner som er sårbare.

I det spesifikke tilfellet som var observert var det et vedlegg til en e-post av typen .RTF (Rich Text File). Denne filen inneholdt et skjult .docx-dokument. Tidsrommet sårbarheten ble observert utnyttet
var i august og september 2017.

En stor del av denne månedens sikkerhetsoppdatering omhandler en sårbarhet i TPM (Trusted Platform Module). Dette er en hardware-modul som Microsoft Windows benytter for å generere nøkler til forskjellige tjenester. Denne sårbarheten svekker styrken på nøklene generert av denne modulen; dette vil i praksis svekke sikkerheten til blant annet Active Directory-tjenester og BitLocker.

Merk at denne oppdateringen fra Microsoft gjør Windows kompatibelt med de nye firmwareoppdateringene. Det vil si at Windows kan få problemer hvis firmware oppdateres før Windows!

NorCERT anbefaler alle om å undersøke om de har kritisk materiell som benytter sårbare TPMer, og vurdere hvilke tiltak som er nødvendige. Merk at det ikke er trivielt å utnytte denne sårbarheten, men konsekvenser av et vellykket kompromittering kan bli alvorlig.

For å lese mer om denne sårbarheten se
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV170012

Vi i NorCERT anbefaler alle om å installere de nye sikkerhetsoppdateringene så fort som praktisk mulig.

Sårbarheter belyst i dette sårbarhetsvarselet:

Microsoft Graphics Remote Code Execution
Exploitability Index* 1, 1
CVE-referanser CVE-2017-11762
CVE-2017-11763

En sårbarhet i hvordan Windows Font Library håndterer spesielt utformede skrifttyper(fonts) kan føre til at en angriper kan få kontroll over systemet. Det er ikke spesifisert hvilken mekanisme som fører til dette resultatet. Et vellykket angrep vil gi angriper de samme rettighetene som den kompromitterte brukerkontoen. Denne sårbarheten kan utnyttes via flere vektorer. En angriper kan designe en spesielt utformet nettside, for deretter å overbevise en bruker om å besøke siden. Denne sårbarheten kan også utnyttes ved en spesielt utformet fil, som kan leveres via fildeling eller som et vedlegg i en e-post. Brukeren må selv åpne dokumentet for at angrepet skal være vellykket. Denne oppdateringen retter hvordan Windows Font Library håndterer ukjente fonter.

Internet Explorer Memory Corruption
Exploitability Index* 1, 1
CVE-referanser CVE-2017-11822
CVE-2017-11813

En sårbarhet i hvordan Microsoft Explorer håndterer objekter i minnet kan føre til eksekvering av tilfeldig kode. En angriper kan utnytte denne sårbarheten ved å lure en bruker til å besøke en spesielt utformet nettside. Et velykket angrep vil gi angriperen samme rettigheter som den aktive brukeren. Hvis denne brukeren er en administrator, vil dette gi angriperen full tilgang til systemet. Denne oppdateringen bedrer hvordan Microsoft Explorer håndterer objekter i minnet.

Windows Shell Memory Corruption
Exploitability Index* 1, 1
CVE-referanse CVE-2017-8727

En sårbarhet i hvordan Internet Explorer aksesserer objekter via Microsoft Windows Text Services Framework, kan utnyttes til å eksekvere tilfeldig kode. Ved et vellykket angrep vil angriper få de samme brukerrettighetene som den påloggede brukeren. En angriper kan utnytte denne sårbarheten ved overbevise en bruker om å besøke en spesielt utformet nettside. Denne sikkerhetsoppdateringen endrer hvordan Microsoft Windows Text Services Framework håndterer objekter i minnet.

Windows Search Remote Code Execution
Exploitability Index* 1, 1
CVE-referanse CVE-2017-11771

En sårbarhet i hvordan Windows Search håndterer objekter i minnet kan utnyttes til å ta over den sårbare maskinen. En angriper kan utnytte denne sårbarheten ved å sende en spesielt utformet streng til Windows Search service. Dette angrepet kan utnyttes enten lokalt eller via SMB. Denne sikkerhetsoppdateringen bedrer hvordan Windows Search håndterer objekter i minnet.

Scripting Engine Memory Corruption
 Exploitability Index*  1, 1
 CVE-referanse  CVE-2017-11793

En sårbarhet i hvordan Scripting Engine i Microsofts Explorer håndterer objekter i minnet kan føre til eksekvering av tilfeldig kode. En angriper kan utnytte denne sårbarheten ved å benytte en spesielt utformet nettside eller et Microsoft Office dokument. Et velykket angrep vil gi angriperen samme rettigheter som den aktive brukeren. Hvis denne brukeren er en administrator, vil dette gi angriperen full tilgang til systemet. Denne oppdateringen bedrer hvordan Scripting Engine håndterer objekter i minnet.

Scripting Engine Information Disclosure
Exploitability Index* 1, N
CVE-referanser CVE-2017-11797
CVE-2017-11801

En sårbarhet eksisterer i hvordan ChacraCore scripting engine håndterer objekter i minnet. Denne sårbarheten kan gjøre det mulig for en angriper å eksekvere tilfeldig kode i konteksten av den aktive brukeren. Hvis denne brukeren er logget inn som lokal administrator kan angriper potensielt ta full kontroll over maskinen. Denne sikkerhetsoppdateringen retter hvordan ChacraCore håndterer objekter i minnet.

Scripting Engine Memory Corruption
Exploitability Index* 1, N
CVE-referanse CVE-2017-11809

En sårbarhet i hvordan Scripting Engine i Microsofts nettlesere håndterer objekter i minnet kan føre til eksekvering av tilfeldig kode. En angriper kan utnytte denne sårbarheten ved å benytte en spesielt utformet nettside eller et Microsoft Office dokument. Et velykket angrep vil gi angriperen samme rettigheter som den aktive brukeren. Hvis denne brukeren er en administrator, vil dette gi angriperen full tilgang til systemet. Denne oppdateringen bedrer hvordan Scripting Engine håndterer objekter i minnet.

Scripting Engine Memory Corruption
Exploitability Index* 1, N
CVE-referanse CVE-2017-11821
CVE-2017-11792
CVE-2017-11796
CVE-2017-11798
CVE-2017-11799
CVE-2017-11802
CVE-2017-11804
CVE-2017-11805
CVE-2017-11807
CVE-2017-11808
CVE-2017-11811
CVE-2017-11812
CVE-2017-11806

En sårbarhet i hvordan Scripting Engine i Microsoft Edge håndterer objekter i minnet kan føre til eksekvering av tilfeldig kode. En angriper kan utnytte denne sårbarheten ved å lure en bruker til å besøke en spesielt utformet nettside. Et velykket angrep vil gi angriperen samme rettigheter som den aktive brukeren. Hvis denne brukeren er en administrator, vil dette gi angriperen full tilgang til systemet. Denne oppdateringen bedrer hvordan Scripting Engine håndterer objekter i minnet.

Vulnerability in TPM could allow Security Feature Bypass
Exploitability Index* 2, 2
Referanse ADV170012

Les oppsummering for et raskt overblikk. For mer informasjon samt forklaring på hvordan man kan undersøke om man er sårbar se:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV170012

For firmwareoppdateringer se:
https://www.infineon.com/TPM-update
http://www.fujitsu.com/global/support/products/software/security/products-f/ifsa-201701e.html

Windows DNSAPI Remote Code Execution
Exploitability Index* 2, 2
CVE-referanse CVE-2017-11779

En sårbarhet i Windows Domain Name System (DNS) oppstår i tilfeller der DNSAPI.dll ikke klarer å håndtere DNS-svar korrekt. En angriper kan utnytte denne sårbarheten til å eksekvere kode med rettighetene til Local System Account. Denne sårbarheten kan utnyttes ved at en angriper setter opp en
ondsinnet DNS-server som sender korrupte DNS-svar til målet. Denne sikkerhetsoppdateringen endrer hvordan Windows DNSAPI.dll håndterer DNS-svar

Windows Shell Remote Code Execution
Exploitability Index* N, 2
CVE-referanse CVE-2017-11819

En sårbarhet i hvordan Microsoft nettlesere aksesserer objekter i minnet kan føre til eksekvering av tilfeldig kode. Koden blir kjørt med samme rettigheter som den kompromitterte brukeren. Hvis denne brukeren er logget inn som lokal administrator kan angriper potensielt ta full kontroll over maskinen. En angriper kan utnytte denne sårbarheten ved å benytte en spesielt utformet nettside eller et Microsoft Office dokument. Denne sikkerhetsoppdateringen retter hvordan Microsofts nettlesere håndterer objekter i minnet.

Scripting Engine Memory Corruption
Exploitability Index* 1, 0
CVE-referanse CVE-2017-11826

En sårbarhet i hvordan Microsoft Office håndterer objekter i minnet kan føre til eksekvering av kode. Koden blir kjørt med samme rettigheter som den kompromitterte brukeren. En angripervkan utnytte denne sårbarheten ved lage en spesielt utformet Office-fil. Dette angrepet krever at brukeren selv åpner filen for å lykkes. Denne oppdateringen endrer hvordan Microsoft Office håndterer objekter i minnet.

Se Microsoft [1] og Adobe [3] sine nettsider for flere detaljer.

NorCERT anbefaler alle å oppdatere programvaren på sine systemer til siste versjon.

Referanser:

  1. https://portal.msrc.microsoft.com/en-us/security-guidance
  2. http://360coresec.blogspot.no/2017/10/new-office-0day-cve-2017-11826.html
  3. https://helpx.adobe.com/security.html

Om *Exploitability Index

For hver sårbarhet gir Microsoft en vurdering av sannsynligheten for at den skal kunne utnyttes. Dette kaller de «exploitability index». En «exploitability index» på 1 betyr at Microsoft anser det som lett å skrive stabil utnyttelseskode for sårbarheten. 0 betyr at utnyttelse er observert, mens N betyr at sårbarheten ikke finnes i den/de versjonen(e) av programvaren. Det gis én verdi for den nyeste versjonen av det aktuelle produktet, og én verdi for de andre støttede versjonene. Vi markerer sårbarhetene under med (EI: x,y) hvor x er siste versjon, og y er resterende.