Microsoft sikkerhetsoppdateringer for september 2017

Publisert: 05.10.2017

Det er totalt 82 bulletiner, hvor 23 er vurdert som kritiske.

Microsoft har offentliggjort sine månedlige sikkerhetsoppdateringer [1]. Det er totalt 82 bulletiner, hvor 23 er vurdert som kritiske.

Denne gangen er det også slik at flere av de kritiske sårbarhetene kreverbrukerinteraksjon. Det er flere sårbarheter i Microsoft sin JavaScript-motor og hvordan den håndterer objekter i minnet. Disse gjelder både nettleseren Edge og andre produkter som for eksempel Office. Også denne gangen er det en sårbarhet i håndtering av fonter, denne sårbarheten skal riktignok ikke være like lett å utnytte som javascript sårbarhetene på nyere versjoner av Windows.

Sårbarheten i Windows DHCP-server tjenesten krever ikke brukerinteraksjon, men har noen spesifikke forutsetninger. Serveren må være satt som "fallback" server i miljø med DHCP redundans. Dersom man har en slik DHCP server som er eksponert på nett bør man vurdere umiddelbare tiltak.

Det er også en sårbarhet i NetBIOS som ikke krever brukerinteraksjon, men den baserer seg på en race-condition som på generelt grunnlag er mindre pålitelig å utnytte.

Sårbarheter belyst i dette sårbarhetsvarselet:

Scripting Engine Memory Corruption
Exploitability Index* (x,y): 1, 1
CVE-referanser  CVE-2017-8740
CVE-2017-8729
CVE-2017-8738
CVE-2017-8752
CVE-2017-8753
CVE-2017-11764

En sårbarhet i hvordan Microsofts scriptmotor håndterer objekter i minnet under rendering av innhold kan utnyttes til å kjøre vilkårlig kode. Koden vil bli kjørt med samme rettigheter som den aktive brukeren. Hvis den kompromitterte brukeren har administrative privilegier, vil dette gi angriper mulighet til å ta kontroll over systemet. En angriper kan utnytte denne sårbarheten igjennom en spesielt utformet nettside. En angriper kan også legge ved et ActiveX objekt i et dokument i Microsoft Office, som benytter denne typen rendering-motor. Denne oppdateringen retter hvordan Microsofts scriptmotor håndterer objekter i minnet.

Microsoft Browser Memory Corruption
Exploitability Index* (x,y): 1, 1
CVE-referanse CVE-2017-8750

En sårbarhet i hvordan Microsoft nettlesere håndterer JavaScript-objekter kan føre til eksekvering av tilfeldig kode. En angriper kan utnytte denne sårbarheten ved å benytte en spesielt utformet nettside eller et Microsoft Office dokument. Et velykket angrep vil gi angriperen samme rettigheter som den aktive brukeren. Hvis denne brukeren er en administrator, vil dette gi angriperen full tilgang til systemet. Denne oppdateringen bedrer hvordan JavaScript Engine håndterer objekter i minnet.

Internet Explorer Memory Corruption
Exploitability Index* (x,y): 1, 1
CVE-referanse CVE-2017-8747


En sårbarhet i hvordan Microsoft nettlesere håndterer JavaScript-objekter kan føre til eksekvering av tilfeldig kode. En angriper kan utnytte denne sårbarheten ved å benytte en spesielt utformet nettside eller et Microsoft Office dokument. Et velykket angrep vil gi angriperen samme rettigheter som den aktive brukeren. Hvis denne brukeren er en administrator, vil dette gi angriperen full tilgang til systemet. Denne oppdateringen bedrer hvordan JavaSctipt Engine håndterer objekter i minnet.

Scripting Engine Memory Corruption
Exploitability Index* (x,y): 1, 1
CVE-referanser CVE-2017-8748
CVE-2017-8741
CVE-2017-8649

En sårbarhet i hvordan Microsoft nettlesere håndterer JavaScript-objekter kan føre til eksekvering av tilfeldig kode. En angriper kan utnytte denne sårbarheten ved å benytte en spesielt utformet nettside eller et Microsoft Office dokument. Et velykket angrep vil gi angriperen samme rettigheter som den aktive brukeren. Hvis denne brukeren er en administrator, vil dette gi angriperen full tilgang til systemet. Denne oppdateringen bedrer hvordan JavaSctipt Engine håndterer objekter i minnet.

Microsoft Edge Memory Corruption
Exploitability Index*(x,y): 1, N
CVE-referanser CVE-2017-8734
CVE-2017-8751

En sårbarhet i hvordan Microsoft Edge aksesserer objekter i minnet kan gjøre det mulig for en angriper å eksekvere kode. Koden vil bli kjørt under samme rettigheter som den kompromitterte brukeren.
Hvis brukeren har lokal administrator, kan angriperen ta kontroll over hele maskinen. En angriper kan utnytte denne sårbarheten ved å lage en spesielt utformet nettside, for deretter å overbevise en bruker om å besøke nettsiden. Denne oppdateringen retter hvordan Microsoft Edge håndterer objekter i minnet.

Microsoft Edge Memory Corruption
Exploitability Index* (x,y): 1, N
CVE-referanse CVE-2017-11766

En sårbarhet i hvordan Microsoft Edge aksesserer objekter i minnet kan føre til minnekorrupsjon slik at tilfeldig kode kjøres. Et vellykket angrep vil gi angriperen de samme rettigheten som den kompromitterte brukerkontoen. Denne sårbarheten kan utnyttes ved f.eks en spesielt utnyttet nettside. Angrepet krever uansett en form for brukerinteraksjon (Åpne fil, aktivere innhold eller lignende) for at angrepet skal lykkes.

Microsoft Edge Memory Corruption
Exploitability Index* (x,y): 1, N
CVE-referanser CVE-2017-8755
CVE-2017-8756

En sårbarhet i hvordan Microsofts Edge håndterer objekter i minnet under rendering av innhold kan utnyttes til å eksekvere kode. Koden vil bli kjørt med samme rettigheter som den aktive brukeren. Hvis den kompromitterte brukeren har administrative privilegier, vil dette gi angriper mulighet til å
ta kontroll over systemet. En angriper kan utnytte denne sårbarheten igjennom en spesielt utformet nettside, for deretter å overbevise brukeren om å besøke denne nettsiden. Denne sårbarheten kan ikke etter vår kunnskap utnyttes via Microsoft Office eller andre applikasjoner.
Denne oppdateringen retter hvordan Microsoft Edge håndterer objekter i minnet.

Microsoft Edge Remote Code Execution
Exploitability Index* (x,y): 1, N
CVE-referanse CVE-2017-8757

En sårbarhet i hvordan Microsofts Edge håndterer objekter i minnet under rendering av innhold kan utnyttes til å eksekvere kode. Koden vil bli kjørt med samme rettigheter som den aktive brukeren. Hvis den kompromitterte brukeren har administrative privilegier, vil dette gi angriper mulighet til å ta kontroll over systemet. En angriper kan utnytte denne sårbarheten igjennom en spesielt utformet nettside, for deretter å overbevise brukeren om å besøke denne nettsiden. Denne sårbarheten kan ikke etter vår kunnskap utnyttes via Microsoft Office eller andre applikasjoner. Denne oppdateringen retter hvordan Microsoft Edge håndterer objekter i minnet.

Win32k Graphics Remote Code Execution
Exploitability Index* (x,y): 2, 1
CVE-referanse CVE-2017-8682

En sårbarhet i hvordan Windows Font Library håndterer spesielt utformede skrifttyper(fonts) kan føre til at en angriper kan få kontroll over systemet. Det er ikke spesifisert hvilken mekanisme som fører til dette
resultatet. Et vellykket angrep vil gi angriper de samme rettighetene som den kompromitterte brukerkontoen. Denne sårbarheten kan utnyttes via flere vektorer. En angriper kan designe en spesielt utformet nettside, for deretter å overbevise en bruker om å besøke siden. Denne sårbarheten kan også utnyttes ved en spesielt utformet fil, som kan leveres via fildeling eller som et vedlegg i en e-post. Brukeren må selv åpne dokumentet for at angrepet skal være vellykket. Denne oppdateringen retter hvordan Windows Font Library håndterer ukjente fonter.

Windows DHCP Server Remote Code Execution
Exploitability Index* (x,y): 2, 2
CVE-referanse CVE-2017-8686

En sårbarhet i Windows Server DHCP tjenesten kan føre til kjøring av vilkårlig kode. Denne sårbarheten kan utnyttes ved at en angriper sender spesielt utformete pakker til en DHCP failover server. Disse pakkene kan enten føre til at serveren kjører kode levert av angriper, eller at DHCP serveren krasjer. Denne sårbarheten gjelder kun hvis serveren står i failover modus. Denne oppdateringen retter hvordan DHCP servere håndterer pakker.

NetBIOS Remote Code Execution Vulnerability
Exploitability Index* (x,y): 2, 2
CVE-referanse CVE-2017-0161

En race-contition i NetBIOS kan føre til ekstern kjøring av kode. Sårbarheten oppstår i tilfeller der en NetBT-sesjon ikke er i stand til å holde orden på sekvensieringskravene. Dette gjør det mulig for en angriper å sende en spesielt utformete NetBT Session Service pakker til et sårbart system. Denne sikkerhetsoppdateringen retter hvordan NetBT sekvensierer visse operasjoner.

Microsoft PDF Remote Code Execution
Exploitability Index* (x,y): 2, 2
CVE-referanser CVE-2017-8737
CVE-2017-8728

En sårbarhet i hvordan Microsoft nettlesere håndterer JavaScript-objekter kan føre til eksekvering av tilfeldig kode. En angriper kan utnytte denne sårbarheten ved å benytte en spesielt utformet nettside eller et Microsoft Office dokument. Et velykket angrep vil gi angriperen samme rettigheter som den aktive brukeren. Hvis denne brukeren er en administrator, vil dette gi angriperen full tilgang til systemet. Denne oppdateringen bedrer hvordan JavaSctipt Engine håndterer objekter i minnet.

September Flash Security Update
Exploitability Index* (x,y): 2, 2
  ADV170013

Denne sikkerhetsoppdateringen retter følgende sårbarheter i Adobe sine produkter. APSB17-28:CVE-2017-11281, CVE-217-11282.

Se Microsoft [1] og Adobe [2] sine nettsider for flere detaljer.

Vi i NorCERT anbefaler alle å oppdatere programvaren på sine systemer til siste versjon.

Referanser:

  1. https://portal.msrc.microsoft.com/en-us/security-guidance
  2. https://helpx.adobe.com/security.html

Om *Exploitability Index

For hver sårbarhet gir Microsoft en vurdering av sannsynligheten for at den skal kunne utnyttes. Dette kaller de «exploitability index». En «exploitability index» på 1 betyr at Microsoft anser det som lett å skrive stabil utnyttelseskode for sårbarheten. 0 betyr at utnyttelse er observert, mens N betyr at sårbarheten ikke finnes i den/de versjonen(e) av programvaren. Det gis én verdi for den nyeste versjonen av det aktuelle produktet, og én verdi for de andre støttede versjonene. Vi markerer sårbarhetene under med (EI: x,y) hvor x er siste versjon, og y er resterende.