[NorCERT-varsel] Microsoft patchetirsdag oktober 2019
Microsoft har offentliggjort sine månedlige sikkerhetsoppdateringer i kveld
[1]. Det er totalt 61 bulletiner, hvor 9 er vurdert som kritisk. Flere av
sårbarhetene kan utnyttes til å fjernkjøre kode og ta kontroll over brukere og
systemer.
De kritiske sårbarhetne påvirker blant annet Remote Desktop Client, script
motoren VBScript, XML Core services, Azure App Service og ChakraCore.
Disse sårbarhetene er gjennomgått i mer detaljer under.
NorCERT-pulsen blir satt opp til nivå to (2) grunnet sårbarheter i mye brukte
produkter fra Microsoft. Se Microsoft [1] sine nettsider for flere detaljer
om sårbarhetene.
NorCERT anbefaler systemeiere å oppdatere programvaren på sine systemer til
siste versjon så snart det lar seg gjøre.
Referanser:
[1]https://portal.msrc.microsoft.com/en-us/security-guidance
Om Exploitability Index
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
For hver sårbarhet gir Microsoft en vurdering av sannsynligheten for
at den skal kunne utnyttes. Dette kaller de «exploitability index».
En «exploitability index» på 1 betyr at Microsoft anser det som lett
å skrive stabil utnyttelseskode for sårbarheten. 0 betyr at utnyttelse er
observert, mens N betyr at sårbarheten ikke finnes i den/de versjonen(e)
av programvaren. Det gis én verdi for den nyeste versjonen av det aktuelle
produktet, og én verdi for de andre støttede versjonene. Vi markerer
sårbarhetene under med (EI: x,y) hvor x er siste versjon, og y er resterende.
Sårbarheter belyst i dette sårbarhetsvarselet:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
EI(x,y): 1,1
Tittel: Remote Desktop Client Remote Code Execution
CVE-2019-1333
- ----------------------------------------------------------------------------
Windows Remote Desktop Client inneholder en sårbarhet som oppstår kun ved
at en bruker kobler seg opp mot en ondsinnet server. En angriper som
kontrollerer serveren kan kjøre vilkårlig kode på brukerens klient, i
tillegg til å installere applikasjoner, se, endre og modifisere data, eller
opprette nye brukerkontoer med fulle brukerrettigheter. For at angriperen
skal lykkes med å utnytte sårbarheten må han/hun lure brukeren til å koble
seg opp mot sin server. Dette kan gjøres med metoder som "social
engineering", DNS-poisoning, eller ved et MITM-angrep. Alternativt kan
angriperen kompromittere en legitim server, plante ondisnnet kode på den og
vente på at brukeren kobler seg opp.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
EI(x,y): 2,2
Tittel: VBScript Remote Code Execution
CVE-2019-1238
CVE-2019-1239
- ----------------------------------------------------------------------------
Skriptmotoren VBScript inneholder en sårbarhet som har rot i hvordan
skriptmotoren behandler objekter i minnet. Sårbarheten utnyttes ved å endre
minnet på en slik måte at den legger til rette for at en angriper kan kjøre
vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den
påloggede brukeren. Hvis den påloggede brukeren er logget inn som
administrator, kan angriperen ta kontroll over systemet. For at angriperen
skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke
en spesielt utformet nettside med Internet Explorer. Dette kan for eksempel
gjøres ved at angriperen sender en e-post eller en direktemelding til
brukeren. Angriperen kan også pakke inn et spesielt utformet ActiveX-objekt
i en applikasjon eller i et Microsoft Office-document som benytter seg av
Internet Explorer internt for å presentere ActiveX-objektet.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
EI(x,y): 2,2
Tittel: MS XML Remote Code Execution Vulnerability
CVE-2019-1060
- ----------------------------------------------------------------------------
I Microsoft XML Core Services er det en MSXML-parser som inneholder en
sårbarhet som har rot i hvordan XML leser inndata fra brukeren. For at
angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til
å besøke en spesielt utformet nettside gjennom Internet Explorer, som vil
da kjøre angriperens kode. Dette kan for eksempel gjøres ved at angriperen
sender en e-post eller en direktemelding til brukeren.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
EI(x,y): 2,2
Tittel: Azure App Service Elevation of Privilege
CVE-2019-1372
- ----------------------------------------------------------------------------
Det finnes en svakhet relatert til eskalering av privilegier i Azure App
Service/Antares på Azure stacken. Svakheten skyldes at tjenesten ikke
sjekker for lengden av buffer før kopiering til minne. En angriper som
utnytter denne svakheten, kan muliggjøre kjøring av uprivilegerte funksjoner
og eksekvering av kode i konteksten av NT AUTHORITYsystem og på denne
måten forbigå sandkassen. Sikkerhetsoppdateringen løser svakheten ved å
sørge for at Azure App Service utfører sanitasjon av bruker-input.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
EI(x,y): 2,N
Tittel: Chakra Scripting Engine Memory Corruption
CVE-2019-1307
CVE-2019-1308
CVE-2019-1366
- ----------------------------------------------------------------------------
Skriptmotoren ChakraCore inneholder en sårbarhet som har rot i hvordan
skriptmotoren behandler objekter i minnet i Microsoft Edge. Sårbarheten,
som kan føre til fjernekservering, utnyttes ved å endre minnet på en slik
måte at den legger til rette for at en angriper kan kjøre vilkårlig kode i
samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren.
Hvis den påloggede brukeren er logget inn som administrator, kan angriperen
ta kontroll over systemet. For at angriperen skal lykkes med å utnytte
sårbarheten må han/hun få brukeren til å besøke en spesielt utformet
nettside med Microsoft Edge. Dette kan for eksempel gjøres ved at
angriperen sender en e-post eller en direktemelding til brukeren.