SØK
TRUSSELVURDERING (TLP:CLEAR)

[JustisCERT-varsel] [#015-2023] [TLP:CLEAR] Microsoft, Adobe og SAP-sårbarheter for mars 2023

14-03-2023

Microsoft har publisert 74 nye bulletiner for mars 2023 hvor 6 er vurdert som kritisk og 67 som alvorlig. Microsoft har i tillegg rettet 29 CVE siden forrige patche-tirsdag som berører Microsoft Edge Chromium. Flere av sårbarhetene kan utnyttes til fjernkjøring av kode, gi utvidede rettigheter og/eller til å ta kontroll over brukere og systemer. [1]

 

Vær spesielt oppmerksom på sårbarheten i Microsoft Outlook for Windows (CVE-2023-23397 med CVSS-score 9.8) som gjør det mulig for en angriper å få tilsendt NTLMv2-hashen til en bruker ved å sende en spesiallaget e-post. Angriper kan dermed bli autentisert som denne brukeren på andre systemer som virksomheten benytter. Angrepet krever ikke at mottaker åpner/forhåndsviser eposten, men at TCP port 445/SMB er åpen mot angripers server og at NTLM er tillatt som autentiseringsmekanisme på Windows-klienten til offeret. Microsoft er kjent med at CVE-2023-23397 aktivt utnyttes og har publisert et script som kan oppdage om virksomheten har vært utsatt for et slikt angrepet. [2][3]

 

Frem til sikkerhetsoppdatering for CVE-2023-23397 er rullet ut anbefaler Microsoft å vurdere følgende mitigerende tiltak:

  • Meld brukere inn i sikkerhetsgruppen «Protected Users» i Active Directory (dette forhindrer at NTLM kan benyttes som autentiseringsmekanisme)
  • Blokker ugående TCP port 445/SMB-trafikk i virksomhetens sentrale brannmurer, klienters lokale brannmur og i eventuelle VPN/proxy-løsninger som benyttes (dette forhindrer at NTLMv2-hashen kan sendes til angripers system)

 

Vær også oppmerksom på CVE-2023-24880 som lar en angriper omgå sikkerhetsfunksjonen Mark of the Web (MOTW) samt Protected View i Microsoft Office for filer som er lastet ned fra internett. Microsoft er kjent med at sårbarheten aktivt utnyttes.

 


Adobe har publisert 8 bulletiner som dekker 105 CVE hvor 60 er vurdert som kritiske. Adobe Commerce er berørt av 4 sårbarhet, Adobe Experience Manager av 18, Adobe Illustrator av 5, Adobe Dimension av 57, Adobe Creative Cloud Desktop Application av 1,  Adobe Substance 3D Stager av 16, Adobe Photoshop av 1 og Adobe ColdFusion av 3 (CVSS-score 3.1 – 9.8). Flere av sårbarhetene gjør det mulig for angriper å kjøre vilkårlig kode.

 


SAP Security Patch Day for mars 2023 inneholder 19 nye bulletiner med CVSS-score til og med 9.9 (kritisk).

 


Se Microsoft [1], Adobe [4] og SAP [5] sine nettsider for flere detaljer om sårbarhetene.

 


Berørte produkter er blant annet:

  • Azure
  • Client Server Run-time Subsystem (CSRSS)
  • Internet Control Message Protocol (ICMP)
  • Microsoft Bluetooth Driver
  • Microsoft Dynamics
  • Microsoft Edge (Chromium-based)
  • Microsoft Graphics Component
  • Microsoft Office Excel
  • Microsoft Office Outlook
  • Microsoft Office SharePoint
  • Microsoft OneDrive
  • Microsoft PostScript Printer Driver
  • Microsoft Printer Drivers
  • Microsoft Windows Codecs Library
  • Office for Android
  • Remote Access Service Point-to-Point Tunneling Protocol
  • Role: DNS Server
  • Role: Windows Hyper-V
  • Service Fabric
  • Visual Studio
  • Windows Accounts Control
  • Windows Bluetooth Service
  • Windows Central Resource Manager
  • Windows Cryptographic Services
  • Windows Defender
  • Windows HTTP Protocol Stack
  • Windows HTTP.sys
  • Windows Internet Key Exchange (IKE) Protocol
  • Windows Kernel
  • Windows Partition Management Driver
  • Windows Point-to-Point Protocol over Ethernet (PPPoE)
  • Windows Remote Procedure Call
  • Windows Remote Procedure Call Runtime
  • Windows Resilient File System (ReFS)
  • Windows Secure Channel
  • Windows SmartScreen
  • Windows TPM
  • Windows Win32K
     
  • Adobe ColdFusion
  • Adobe Commerce
  • Adobe Creative Cloud
  • Adobe Dimension
  • Adobe Experience Manager
  • Adobe Illustrator
  • Adobe Photoshop
  • Adobe Substance 3D Stager
     
  • SAP ABAP Platform
  • SAP Authenticator for Android
  • SAP Business Objects Business Intelligence Platform (Adaptive Job Server)
  • SAP Business Objects Business Intelligence Platform (CMC)
  • SAP Business Objects Business Intelligence Platform 
  • SAP Content Server
  • SAP ERP and S4HANA (SAPRSBRO Program)
  • SAP Host Agent
  • SAP NetWeaver
  • SAP NetWeaver AS for ABAP and ABAP Platform
  • SAP NetWeaver AS for Java
  • SAP NetWeaver AS for Java (Cache Management Service)
  • SAP NetWeaver AS Java (Classload Service)
  • SAP NetWeaver AS Java (Object Analyzing Service)
  • SAP NetWeaver (SAP Enterprise Portal)
  • SAP Solution Manager and ABAP managed systems

 


Anbefalinger:

  • Patch/oppdater berørte produkter snarest
  • Skru på automatisk oppdatering der det er mulig
  • Avinstaller programvare som ikke benyttes
  • Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
  • Prioriter systemer som håndterer viktige data (f.eks. personopplysninger) eller på annen måte er viktige for virksomheten
  • Sørg for at virksomhetens tjenester (enten de er eksponert kun internt i eget nett eller på internett) kun kan nås av ønskede ressurser
  • Bruk multifactor authentication (MFA) på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
  • Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (velg f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
  • Begrens hvilke IP-adresser som kan administrere en løsning til f.eks. kun de faste interne IPene som administratorer av løsningen benytter
  • Aktiver IPS-signaturer/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte internetteksponerte løsninger
  • Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IOT-enheter og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
  • Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig for daglig drift (skru de eventuelt kun på når du trenger de)
  • Skru av alle usikre/utgåtte funksjoner (f.eks. TLS v1.0 og v1.1, SMBv1, NTLMv1, FTP, Telnet, SNMP v1 og v2, POP, IMAP, NetBIOS, LLMNR, HTTP)
  • Deaktiver muligheten for å kjøre makroer i alle Office-installasjoner (tillat eventuelt kun makroer som er signert av virksomheten selv)
  • Deaktiver muligheten for å kjøre ActiveX i alle Office-installasjoner
  • Herde Office-installasjoner i henhold til anbefalinger fra f.eks. Australian Cyber Security Center [6]
  • Følg NSM Grunnprinsipper for IKT-sikkerhet [7]
  • Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [8]

 


Kilder:
[1] https://msrc.microsoft.com/update-guide
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
[3] https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/
[4] https://helpx.adobe.com/security/security-bulletin.html
[5] https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
[6] https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/hardening-microsoft-365-office-2021-office-2019-and-office-2016
[7] https://nsm.no/grunnprinsipper-ikt
[8] https://www.cisa.gov/shields-up