Microsoft sikkerhetsoppdateringer for august

Publisert: 09.08.2017

Det er totalt 49 bulletiner, hvor 24 av disse er vurdert som kritiske.

Denne månedens sikkerhetsoppdatering retter flere av de typiske skripting sårbarhetene som kan benyttes til å kompromittere en maskin via en Windows nettleser. De fleste av disse sårbarhetene krever en eller annen form for handling av brukeren. Eksempler på dette er å laste ned og åpne en fil, eller tillate innhold på en nettside.

Sårbarheten CVE-2017-0293 er et unntak fra dette. En sårbarhet i Microsoft Windows PDF Library gjør det mulig for en angriper å eksekvere vilkårlige kommandoer på en klient. Det som gjør denne sårbarheten potensielt alvorlig er at PDFer blir automatisk renderet i MS Edge på Windows 10 systemer. En utnyttelse av denne sårbarheten kan resultere i en effektiv Drive by Exploit siden denne konfigurasjonen er veldig vanlig.
Det har enda ikke blitt observert noen aktiv utnyttelse av CVE-2017-0293 og det blir ansett som vanskelig å skrive pålitelig angrepskode for denne sårbarheten.

En annen interessant sårbarhet er CVE-2017-8622. Dette er en av de første Linux sårbarhetene på en Windows maskin. En svakhet i NT pipes (delt mappefunksjonalitet i SMB) kan utnyttes for å tilegne seg flere brukerrettigheter.

Vi oppfordrer alle til å oppdatere systemene sine så fort som mulig. Vi vil også nevne at en av oppdateringene retter en sårbarhet i JET database engine.

Microsoft Browser Memory Corruption
CVE-referanse CVE-2017-8653
EI(x, y): 1, 1

En sårbarhet i hvordan Microsoft nettlesere håndterer objekter i minnet. Sårbarheten kan føre til vilkårlig kjøring av kode. Koden vil bli kjørt med samme rettigheter som den aktive brukeren. Hvis den kompromitterte brukeren har administratorrettigheter, vil dette gi angriper mulighet til å ta kontroll over systemet. En angriper kan utnytte denne sårbarheten ved å lage en spesielt utformet nettside, eller ved å benytte en kompromittert nettside. Under alle tilfeller må angriperen overbevise brukeren om å aktivere det skadelige innholdet. Ofte gjøres dette via e-post eller personlige melding. Denne oppdateringen retter hvordan Microsoft nettlesere håndterer objekter i minnet.

Scripting Engine Memory Corruption
CVE-referanser CVE-2017-8636
CVE-2017-8634
CVE-2017-8640
CVE-2017-8670
CVE-2017-8671
CVE-2017-8645
CVE-2017-8656
CVE-2017-8657
CVE-2017-8674
CVE-2017-8638
CVE-2017-8672
CVE-2017-8646
CVE-2017-8647
CVE-2017-8655
EI(x, y): 1, 1

En sårbarhet i hvordan Microsoft nettleser JavaScript motor håndterer objekter i minnet under tegning (rendering) av innhold kan utnyttes til å kjøre villkårlig kode. Koden vil bli kjørt med samme rettigheter som den aktive brukeren. Dersom den kompromitterte brukeren har administratorrettigheter, vil dette gi angriper mulighet til å ta kontroll over systemet. En angriper kan utnytte denne sårbarheten igjennom en spesielt utformet nettside. En angriper kan også vedlegge et ActiveX objekt i en applikasjon som Microsoft Office som benytter denne tegnemotoren. Denne oppdateringen retter hvordan Microsoft nettleser JavaScript motor håndterer objekter i minnet.

Microsoft Browser Memory Corruption
CVE-referanse CVE-2017-8669
EI (x, y): 1, 1

En sårbarhet i hvordan Microsofts nettlesere håndterer objekter i minnet under rendering av innhold kan utnyttes til å kjøre villkårlig kode. Koden vil bli kjørt med samme rettigheter som den aktive brukeren. Hvis den kompromitterte brukeren har aministratorrettigheter, vil dette gi angriper mulighet til å ta kontroll over systemet. En angriper kan utnytte denne sårbarheten igjennom en spesielt utformet nettside. En angriper kan også vedlegge et ActiveX objekt i en applikasjon som Microsoft Office som benytter denne typen rendering engine. Denne oppdateringen retter hvordan Microsoft nettleser JavaScript motor håndterer objekter i minnet.

Scripting Engine Memory Corruption
CVE-referanse CVE-2017-8641
EI (x, y) 1, 1

En sårbarhet i hvordan Microsoft nettlesere håndterer JavaScript-objekter kan føre til eksekvering av tilfeldig kode. En angriper kan utnytte denne sårbarheten ved å benytte en spesielt utformet nettside eller et Microsoft Office dokument. Et velykket angrep vil gi angriperen samme rettigheter som den aktive brukeren. Hvis denne brukeren er en administrator, vil dette gi angriperen full tilgang til systemet. Denne oppdateringen bedrer hvordan JavaSctipt Engine håndterer objekter i minnet.

Windows Search Remote Code Execution
CVE-referanse CVE-2017-8620
EI (x, y) 1, 1

En sårbarhet i hvordan Windows Search håndterer objekter i minnet kan utnyttes til å eksekvere kode. En angriper som lykkes i å utnytte denne sårbarheten kan installere programvare, lese, endre data, slette data, og lage nye brukerkontoer. For å utnytte denne sårbarheten må angriperen sende spesielt utformede kommandoer til Windows Search service. Denne sårbarheten kan også potensielt utnyttes via en SMB-forbindelse. Denne oppdateringen endrer hvordan Windows Search håndterer objekter i minnet.

Microsoft Edge Memory Corruption
CVE-referanse CVE-2017-8661
EI (x, y) 1, N

En sårbarhet i hvordan Microsofts scripting engines håndterer objekter i minnet under rendering av innhold kan utnyttes til å kjøre vilkårlig kode. Koden vil bli kjørt med samme rettigheter som den aktive brukeren. Hvis den kompromitterte brukeren har administrative privilegier, vil dette gi angriper mulighet til å ta kontroll over systemet. En angriper kan utnytte denne sårbarheten igjennom en spesielt utformet nettside. En angriper kan også vedlegge en ActiveX objekt i en applikasjon som Microsoft Office som
benytter denne typen rendering engine. Denne oppdateringen retter hvordan Microsofts scripting engines håndterer objekter i minnet.

August 2017 Flash Update
Referanse ADV170010
EI (x, y) 2, 2

Sikkerhetsoppdateringen APSB17-23 retter følgende sårbarheter i Adobe-produkter :

  • CVE-2017-3085
  • CVE-2017-3106
Windows PDF Remote Code Execution
CVE-referanse CVE-2017-0293
EI (x, y) 2, 2

En sårbarhet i hvordan Microsoft Windows PDF Library håndterer objekter i minnet. Denne sårbarheten kan potensielt gjøre minnet korrupt i så stor grad at en angriper kan kjøre vilkårlig kode med samme rettigheter som den aktive brukeren. Hvis den kompromitterte brukeren har administrative privilegier, vil dette gi angriper mulighet til å ta kontroll over systemet. For å utnytte denne sårbarheten på en Windows 10 maskin med Microsoft Edge som standard nettleser trenger en bruker kun å besøke en nettside som inneholder en spesielt utformet PDF for å bli kompromittert.
Andre nettlesere og Windowsversjoner vil ikke automatisk rendere PDF-filer og krever at brukeren da i tillegg på laste ned og åpne PDF-filen. Denne sikkerhetsoppdateringen retter hvordan de påvirkede systemene håndterer objekter i minnet.

Windows IME Remote Code Execution
CVE-referanse CVE-2017-8591
EI (x, y) 2, 2

En sårbarhet eksisterer i hvordan Windows Inpud Method Editor (IME) håndterer parametere en metode til en DCOM klasse. En DCOM-server er et Windows komponent som er installert uavhengig av hvilket språk/IMEr som er aktivert. En angriper kan opprette en DCOM-klasse og utnytte systemet selv om IME ikke er aktivert. En lokalt autentisert angriper kan utnytte denne sårbarheten ved å kjøre en spesielt utformet applikasjon. Denne sikkerhetsoppdateringen retter hvordan Windows IME håndterer parametere i
en metode i en DCOM-klasse.

Microsoft JET Database Engine Remote Code
CVE-referanse: CVE-2017-0250
EI (x, y): 3, 3

En buffer overflow sårbarhet finnes i Microsoft JET Database Engine som kan gjøre det mulig for en angriper å kjøre vilkårlig kode på et system. En angriper som lykkes i å utnytte denne sårbarheten vil angriperen få samme rettigheter som den aktive brukeren. Et vellykket utnyttelse av denne sårbarheten krever at en bruker åpner en spesielt utformet database-fil. Dette kan for eksempel gjøres via e-post. Denne sikkerhetsoppdateringen retter hvordan Microsoft JET Database Engine håndterer objekter i minnet.

Windows Subsystem for Linux Elevation 
CVE-referanser CVE-2017-8622

En eskaleringssårbarhet eksisterer i hvordan Windows Subsystem for Linux håndterer NT pipes. En angriper som lykkes i å utnytte denne sårbarheten kan eksekvere kommandoer med opphøyede rettigheter. En lokalt autentisert angriper kan kjøre en spesielt utformet applikasjon. Denne sikkerhetsoppdateringen retter hvordan Windows Subsystem håndterer Linux NT pipes.

Se Microsoft [1] og Adobe [2] sine nettsider for flere detaljer.

Vi anbefaler alle å oppdatere programvaren på sine systemer til siste versjon.

Referanser:

  1. https://portal.msrc.microsoft.com/en-us/security-guidance
  2. https://helpx.adobe.com/security.html

Om *Exploitability Index

For hver sårbarhet gir Microsoft en vurdering av sannsynligheten for at den skal kunne utnyttes. Dette kaller de «exploitability index». En «exploitability index» på 1 betyr at Microsoft anser det som lett å skrive stabil utnyttelseskode for sårbarheten. 0 betyr at utnyttelse er observert, mens N betyr at sårbarheten ikke finnes i den/de versjonen(e) av programvaren. Det gis én verdi for den nyeste versjonen av det aktuelle produktet, og én verdi for de andre støttede versjonene. Vi markerer sårbarhetene under med (EI: x,y) hvor x er siste versjon, og y er resterende.