VARSEL (TLP:CLEAR)

[NorCERT-varsel] Microsoft patchetirsdag oktober 2019

08-10-2019

Microsoft har offentliggjort sine månedlige sikkerhetsoppdateringer i kveld

[1]. Det er totalt 61 bulletiner, hvor 9 er vurdert som kritisk. Flere av

sårbarhetene kan utnyttes til å fjernkjøre kode og ta kontroll over brukere og

systemer.

 

De kritiske sårbarhetne påvirker blant annet Remote Desktop Client, script 

motoren VBScript, XML Core services, Azure App Service og ChakraCore. 

Disse sårbarhetene er gjennomgått i mer detaljer under.

 

NorCERT-pulsen blir satt opp til nivå to (2) grunnet sårbarheter i mye brukte

produkter fra Microsoft. Se Microsoft [1] sine nettsider for flere detaljer 

om sårbarhetene.

 

NorCERT anbefaler systemeiere å oppdatere programvaren på sine systemer til

siste versjon så snart det lar seg gjøre.

 

Referanser:

[1]https://portal.msrc.microsoft.com/en-us/security-guidance

 

 

Om Exploitability Index

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

For hver sårbarhet gir Microsoft en vurdering av sannsynligheten for

at den skal kunne utnyttes. Dette kaller de «exploitability index».

En «exploitability index» på 1 betyr at Microsoft anser det som lett

å skrive stabil utnyttelseskode for sårbarheten. 0 betyr at utnyttelse er

observert, mens N betyr at sårbarheten ikke finnes i den/de versjonen(e)

av programvaren. Det gis én verdi for den nyeste versjonen av det aktuelle

produktet, og én verdi for de andre støttede versjonene. Vi markerer

sårbarhetene under med (EI: x,y) hvor x er siste versjon, og y er resterende.

 

Sårbarheter belyst i dette sårbarhetsvarselet:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

EI(x,y): 1,1

Tittel: Remote Desktop Client Remote Code Execution

CVE-2019-1333

- ----------------------------------------------------------------------------

Windows Remote Desktop Client inneholder en sårbarhet som oppstår kun ved

at en bruker kobler seg opp mot en ondsinnet server. En angriper som

kontrollerer serveren kan kjøre vilkårlig kode på brukerens klient, i

tillegg til å installere applikasjoner, se, endre og modifisere data, eller

opprette nye brukerkontoer med fulle brukerrettigheter. For at angriperen

skal lykkes med å utnytte sårbarheten må han/hun lure brukeren til å koble

seg opp mot sin server. Dette kan gjøres med metoder som "social

engineering", DNS-poisoning, eller ved et MITM-angrep. Alternativt kan

angriperen kompromittere en legitim server, plante ondisnnet kode på den og

vente på at brukeren kobler seg opp.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

EI(x,y): 2,2

Tittel: VBScript Remote Code Execution

CVE-2019-1238

CVE-2019-1239

- ----------------------------------------------------------------------------

Skriptmotoren VBScript inneholder en sårbarhet som har rot i hvordan

skriptmotoren behandler objekter i minnet. Sårbarheten utnyttes ved å endre

minnet på en slik måte at den legger til rette for at en angriper kan kjøre

vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den

påloggede brukeren. Hvis den påloggede brukeren er logget inn som

administrator, kan angriperen ta kontroll over systemet. For at angriperen

skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke

en spesielt utformet nettside med Internet Explorer. Dette kan for eksempel

gjøres ved at angriperen sender en e-post eller en direktemelding til

brukeren. Angriperen kan også pakke inn et spesielt utformet ActiveX-objekt

i en applikasjon eller i et Microsoft Office-document som benytter seg av

Internet Explorer internt for å presentere ActiveX-objektet.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

EI(x,y): 2,2

Tittel: MS XML Remote Code Execution Vulnerability

CVE-2019-1060

- ----------------------------------------------------------------------------

I Microsoft XML Core Services er det en MSXML-parser som inneholder en

sårbarhet som har rot i hvordan XML leser inndata fra brukeren. For at

angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til

å besøke en spesielt utformet nettside gjennom Internet Explorer, som vil

da kjøre angriperens kode. Dette kan for eksempel gjøres ved at angriperen

sender en e-post eller en direktemelding til brukeren.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

EI(x,y): 2,2

Tittel: Azure App Service Elevation of Privilege

CVE-2019-1372

- ----------------------------------------------------------------------------

Det finnes en svakhet relatert til eskalering av privilegier i Azure App

Service/Antares på Azure stacken. Svakheten skyldes at tjenesten ikke

sjekker for lengden av buffer før kopiering til minne. En angriper som

utnytter denne svakheten, kan muliggjøre kjøring av uprivilegerte funksjoner

og eksekvering av kode i konteksten av NT AUTHORITYsystem og på denne

måten forbigå sandkassen. Sikkerhetsoppdateringen løser svakheten ved å

sørge for at Azure App Service utfører sanitasjon av bruker-input.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

EI(x,y): 2,N

Tittel: Chakra Scripting Engine Memory Corruption

CVE-2019-1307

CVE-2019-1308

CVE-2019-1366

- ----------------------------------------------------------------------------

Skriptmotoren ChakraCore inneholder en sårbarhet som har rot i hvordan

skriptmotoren behandler objekter i minnet i Microsoft Edge. Sårbarheten,

som kan føre til fjernekservering, utnyttes ved å endre minnet på en slik

måte at den legger til rette for at en angriper kan kjøre vilkårlig kode i

samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren.

Hvis den påloggede brukeren er logget inn som administrator, kan angriperen

ta kontroll over systemet. For at angriperen skal lykkes med å utnytte

sårbarheten må han/hun få brukeren til å besøke en spesielt utformet

nettside med Microsoft Edge. Dette kan for eksempel gjøres ved at

angriperen sender en e-post eller en direktemelding til brukeren.