Microsoft sikkerhetsoppdateringer for mars 2019

Publisert: 17.03.2019 | Sist endret: 15.04.2019

Microsoft har offentliggjort sine månedlige sikkerhetsoppdateringer [1]. Det er totalt 66 bulletiner, hvor 18 er vurdert som kritiske.

De 18 kritiske bulletinene angår hovedsaklig skriptmotorene som benyttes av nettleserne Internet Explorer og Microsoft Edge. Vi ser også enkelte sårbarheter i Windows sin DHCP klient og Windows sin TFTP server denne måneden.

Adobe har også offentliggjort sikkerhetsoppdateringer [2] for Adobe Photoshop CC og Adobe Digital Editions. Adobe vurderer disse til laveste prioritet.

Sårbarheter belyst i dette sårbarhetsvarselet:

Windows VBScript Engine Remote Code

Exploitability index(x,y):  1, 1
Tittel CVE-2019-0666
CVE-2019-0667

Skriptmotoren VBScript inneholder en sårbarhet som er forårsaket av hvordan skriptmotoren behandler objekter i minnet. Sårbarheten, som kan føre til fjernekservering, utnyttes ved å endre minnet på en slik måte at den legger til rette for at en angriper kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. For at angriperen skal lykkes med å utnytte
sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside med Internet Explorer. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren. En
angriper kan også inkludere en ActiveX kontrol markert som "safe for initilization" i en applikasjon eller et Microsoft Office dokument som benytter IE sin renderingsmotor.

Internet Explorer Memory Corruption

EI(x,y): 1, 1
Tittel CVE-2019-0763


Internet Explorer inneholder en sårbarhet som har rot i hvordan Internet Explorer henter objekter i minnet. En angriper kan utnytte sårbarheten ved å modifisere minnet slik at han/hun får samme tilgang som den påloggede brukeren. Dersom denne brukeren har administrative rettigheter kan dermed angriperen få full tilgang til systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside gjennom Internet Explorer. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.

Scripting Engine Memory Corruption

EI(x,y): 1, N
Tittel CVE-2019-0769
CVE-2019-0770
CVE-2019-0771
CVE-2019-0773

Skriptmotoren i Internet Explorer inneholder en sårbarhet som er forårsaket av hvordan skriptmotoren behandler objekter i minnet. Sårbarheten, som kan føre til fjernekservering, utnyttes ved å endre minnet på en slik måte at den legger til rette for at en angriper kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside med Internet Explorer. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.

Chakra Scripting Engine Memory Corruption

EI(x,y): 1, N
Tittel CVE-2019-0592

Skriptmotoren ChakraCore inneholder en sårbarhet som har rot i hvordan skriptmotoren behandler objekter i minnet i Microsoft Edge. Sårbarheten, som kan føre til fjernekservering, utnyttes ved å endre minnet på en slik måte at den legger til rette for at en angriper kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside med Microsoft Edge. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.

Scripting Engine Memory Corruption

EI(x,y): 1, N
Tittel CVE-2019-0639

Skriptmotoren ChakraCore inneholder en sårbarhet som har rot i hvordan skriptmotoren behandler objekter i minnet. En angriper kan utnytte sårbarheten ved å modifisere minnet slik at han/hun får samme tilgang som den påloggede brukeren. Dersom denne brukeren har administrative rettigheter kan dermed angriperen få full tilgang til systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside gjennom en av Microsofts nettlesere. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.

Scripting Engine Memory Corruption

EI(x,y): 1, N
Tittel CVE-2019-0680

Skriptmotoren i Windows inneholder en sårbarhet som er forårsaket av hvordan skriptmotoren behandler objekter i minnet i Internet Explorer. Sårbarheten, som kan føre til fjernekservering, utnyttes ved å endre minnet på en slik måte at den legger til rette for at en angriper kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. For at angriperen kal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside med Internet Explorer. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren. En angriper kan også inkludere en ActiveX kontrol markert som "safe for initilization" i en applikasjon eller et Microsoft Office dokument som benytter IE sin renderingsmotor.

Scripting Engine Memory Corruption

EI(x,y): 1, N
Tittel CVE-2019-0609

Microsofts nettlesere inneholder en sårbarhet som har rot i hvordan den interne skriptmotoren behandler objekter i minnet. En angriper kan utnytte sårbarheten ved å modifisere minnet slik at han/hun får samme tilgang som den påloggede brukeren. Dersom denne brukeren har administrative rettigheter kan dermed angriperen få full tilgang til systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside gjennom en av Microsofts nettlesere. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren, eller ved å sette inn en ActiveX-kontroll flagget som "safe for initialization" i et program eller i et Office-dokument.

Windows ActiveX Remote Code Execution

EI(x,y): 2, 2
Tittel CVE-2019-0784

ActiveX Data objects (ADO) inneholder en sårbarhet som er forårsaket av hvordan programvaren behandler objekter i minnet. Sårbarheten, som kan føre til fjernekservering, utnyttes ved å endre minnet på en slik måte at den legger til rette for at en angriper kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside med Internet Explorer. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren. En angriper kan også inkludere en ActiveX kontrol markert som "safe for initilization" i en applikasjon eller et Microsoft Office dokument som benytter IE sin renderingsmotor.

Windows DHCP Client Remote Code Execution

EI(x,y): 2, 2
Tittel CVE-2019-0697
CVE-2019-0698
CVE-2019-0726

Windows DHCP klient inneholder en sårbarhet i hvordan programvaren håndterer DHCP responser send til klienten. En angriper som utnytter sårbarheten kan kjøre vilkårlig kode på klientmaskinen. For å utnytte sårbarheten må angriperen sende spesielt utformede DHCP responser til klienten.

Windows Deployment Services TFTP Server

EI(x,y): 2, 2
Tittel CVE-2019-0603

Windows TFTP serveren inneholder en sårbarhet som er forårsaket av hvordan skriptmotoren behandler objekter i minnet. En angriper som utnytter sårbarheten kan eksekvere kode med utvide rettigheter. For å utnytte sårbarheten må angriperen lage spesielt utformede forespørsler som får Windows til å eksekvere vilkårlig kode med utvidede rettigheter.

MS XML Remote Code Execution Vulnerability

EI(x,y): 2, 2
Tittel CVE-2019-0756

I Microsoft XML Core Services er det en MSXML-parser som inneholder en sårbarhet som har rot i hvordan XML leser inndata fra brukeren. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside gjennom Internet Explorer, som vil da kjøre angriperens kode. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.

Vi i NorCERT anbefaler alle å oppdatere programvaren på sine systemer til siste versjon.

Se Microsoft [1] og Adobe [2] sine nettsider for flere detaljer.

  1. https://portal.msrc.microsoft.com/en-us/security-guidance
  2. https://helpx.adobe.com/security.html

Om Exploitability Index*

For hver sårbarhet gir Microsoft en vurdering av sannsynligheten for at den skal kunne utnyttes. Dette kaller de «exploitability index». En «exploitability index» på 1 betyr at Microsoft anser det som lett
å skrive stabil utnyttelseskode for sårbarheten. 0 betyr at utnyttelse er observert, mens N betyr at sårbarheten ikke finnes i den/de versjonen(e) av programvaren. Det gis én verdi for den nyeste versjonen av det aktuelle produktet, og én verdi for de andre støttede versjonene. Vi markerer sårbarhetene under med (EI: x,y) hvor x er siste versjon, og y er resterende.