Microsoft sikkerhetsoppdateringer for april 2019

Publisert: 15.04.2019

Microsoft har offentliggjort sine månedlige sikkerhetsoppdateringer [1]. Det er totalt 76 bulletiner, hvor 17 er vurdert som kritiske.

Sårbarheter belyst i dette sårbarhetsvarselet

Scripting Engine Memory Corruption

Exploitability index* (x,y):  1, 1
Tittel CVE-2019-0753

Internet Explorer inneholder en sårbarhet som har rot i hvordan nettleseren behandler objekter i minnet. Sårbarheten, som kan føre til fjernekservering, utnyttes ved å endre minnet på en slik måte at den legger
til rette for at en angriper kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside med Internet Explorer, eller bruke et ActiveX-objekt i et Office-dokument. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.

April 2019 Adobe Flash Security Update

EI(x,y): 1, 1
Tittel ADV190011

Denne sikkerhetsoppdateringen adresserer CVEene CVE-2019-7096 og CVE-2019-7198. De blir omtalt i Adobe Security Bulletin APSB19-19.

MS XML Remote Code Execution Vulnerability

EI(x,y): 1, 1
Tittel CVE-2019-0793
CVE-2019-0790
CVE-2019-0791
CVE-2019-0792
CVE-2019-0795

I Microsoft XML Core Services er det en MSXML-parser som inneholder en sårbarhet som har rot i hvordan XML leser inndata fra brukeren. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside gjennom Internet Explorer, som vil da kjøre angriperens kode. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.

Scripting Engine Memory Corruption

EI(x,y): 1, N
Tittel CVE-2019-0739

Microsoft Edge inneholder en sårbarhet som har rot i hvordan nettleseren behandler objekter i minnet. Sårbarheten, som kan føre til fjernekservering, utnyttes ved å endre minnet på en slik måte at den legger til rette for at en angriper kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. For at angriperen skal lykkes med å utnytte
sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside med Microsoft Edge. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.

Chakra Scripting Engine Memory Corruption

EI(x,y): 1, N
Tittel CVE-2019-0812
CVE-2019-0829
CVE-2019-0806
CVE-2019-0810
CVE-2019-0861

Skriptmotoren ChakraCore inneholder en sårbarhet som har rot i hvordan skriptmotoren behandler objekter i minnet i Microsoft Edge. Sårbarheten, som kan føre til fjernekservering, utnyttes ved å endre minnet på en slik måte at den legger til rette for at en angriper kan kjøre vilkårlig kode i
samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside med Microsoft Edge. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.

SMB Server Elevation of Privilege

EI(x,y): 2, 2
Tittel CVE-2019-0786

Microsoft Server Message Block (SMB) Server inneholder en sårbarhet som lar en angriper med gyldige kredentialer eskalere sine rettigheter ved å åpne en spesielt utformet fil over SMB-protokollen på den samme maskinen. Angriperen kan da omgå ulike sikkerhetsmekanismer i operativssystemet. Angriperen må først logge på systemet for å utnytte sårbarheten og deretter kjøre et spesielt utformet program for å ta kontroll på et berørt system. Denne oppdateringen retter på sårbarheten ved å endre hvordan Windows SMB Server behandler slike spesielle programmer.

GDI+ Remote Code Execution Vulnerability

EI(x,y): 2, 2
Tittel CVE-2019-0853

Windows Graphics Device Interface (GDI) inneholder en sårbarhet som har rot i hvordan GDI behandler objekter i minnet. En angriper kan ved å utnytte sårbarheten blant annet installere programmer, se, endre eller slette data eller opprette nye brukerkontoer med alle brukerrettigheter. Brukerkontoer med begrensninger er ikke like sårbare enn brukere med administrative rettigheter. Angriperen kan utnytte sårbarheten på forskjellige måter: Han/hun må få brukeren til å besøke en spesielt utformet nettside, sende sårbarheten i form av et vedlegg pr. e-post eller ved at angriperen sender en direktemelding til brukeren.

Windows IOleCvt Interface Remote Code

EI(x,y): 2, 2
Tittel CVE-2019-0845

IOIeCvt-interfacet i Windows inneholder en sårbarhet som har rot i hvordan interfacet behandler nettsideinnhold i ASP. Sårbarheten kan føre til fjernekservering. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside med Microsofts nettlesere, eller bruke et ActiveX-objekt i et Office-dokument. Angriperen kan også kompromittere nettsider eller reklameinnhold slik at besøkende blir servert innhold som utnytter sårbarheten.

Vi i NorCERT anbefaler alle å oppdatere programvaren på sine systemer til siste versjon.

Se Microsoft [1] og Adobe [2] sine nettsider for flere detaljer.

  1. https://portal.msrc.microsoft.com/en-us/security-guidance
  2. https://helpx.adobe.com/security.html

Om Exploitability Index*

For hver sårbarhet gir Microsoft en vurdering av sannsynligheten for at den skal kunne utnyttes. Dette kaller de «exploitability index». En «exploitability index» på 1 betyr at Microsoft anser det som lett
å skrive stabil utnyttelseskode for sårbarheten. 0 betyr at utnyttelse er observert, mens N betyr at sårbarheten ikke finnes i den/de versjonen(e) av programvaren. Det gis én verdi for den nyeste versjonen av det aktuelle produktet, og én verdi for de andre støttede versjonene. Vi markerer sårbarhetene under med (EI: x,y) hvor x er siste versjon, og y er resterende.