TRUSSELVURDERING (TLP:CLEAR)

[JustisCERT-varsel] [#021-2022] [TLP:CLEAR] Microsoft og Adobe-sårbarheter for mars 2022

09-03-2022

Microsoft har publisert 71 nye bulletiner for mars 2022 hvor 3 er vurdert som kritisk og 68 som alvorlig [1]. I tillegg har Microsoft rettet 21 CVEer som berører Microsoft Edge Chromium tidligere denne måneden. Flere av sårbarhetene kan utnyttes til fjernkjøring av kode og til å ta kontroll over brukere og systemer. Vær spesielt oppmerksom på sårbarheten i (on-prem) Microsoft Exchange (CVE-2022-23277 med CVSS-score 8.8) [2] som tillater en autentisert angriper å fjernkjøre vilkårlig ondsinnet kode på et berørt system. Microsoft opplyser at de forventer å se sårbarheten aktivt utnyttet om kort tid.

JustisCERT minner om at Microsoft Exchange Cumulative oppdateringer (CU) slippes omtrent hver 3 måned. Virksomheter med on-prem Exchange må alltid benytte siste eller nest siste CU for å motta sikkerhetsoppdateringer. For å se hvilken Exchange CU som er installert, start Exchange Management Shell på hver eneste Exchange-server og kjør kommandoen «Get-command ExSetup | %{$_.Fileversioninfo}» eller «Get-Command Exsetup.exe | ForEach {$_.FileVersionInfo}». Sammenlign build nummer du da får med Microsoft sin oversikt for å verifisere at siste CU og oppdatering er installert. [3]

Siste tilgjengelig CU for on-prem Exchange er pr 8.mars 2022:

Exchange Server 2019 CU11, mars 2022 update (Build number 15.2.986.22/15.02.0986.022)
Exchange Server 2016 CU22, mars 2022 update (Build number 15.1.2375.24/15.01.2375.024)
Exchange Server 2013 CU23, mars 2022 update (Build number 15.0.1497.33/15.00.1497.033)

Adobe har publisert 3 bulletiner som dekker 6 CVEer hvor 5 er vurdert som kritiske og 1 som viktig. Adobe After Effects er berørt av 4 sårbarheter, Illustrator av 1 og Photoshop av 1 (CVSS-score til og med 7.8). Flere av sårbarhetene gjør det mulig for angriper å kjøre vilkårlig kode.

Se Microsoft [1] og Adobe [4] sine nettsider for flere detaljer om sårbarhetene.

Berørte produkter er blant annet:

Microsoft .NET og Visual Studio
Microsoft Azure Site Recovery
Microsoft Defender for Endpoint
Microsoft Defender for IoT
Microsoft Dynamics
Microsoft Exchange Server
Microsoft Intune
Microsoft Office
Microsoft Windows ALPC
Microsoft Windows Codecs Library
Microsoft Paint 3D
Windows Hyper-V
Microsoft Servicing Stack Updates
Microsoft Skype Extension for Chrome
Microsoft Tablet Windows User Interface
Microsoft Visual Studio og Visual Studio Code
Windows Ancillary Function Driver for WinSock
Windows CD-ROM Driver
Windows Cloud Files Mini Filter Driver
Windows COM
Windows Common Log File System Driver
Windows DWM Core Library
Windows Event Tracing
Windows Fastfat Driver
Windows Fax and Scan Service
Windows HTML Platform
Windows Installer
Windows Kernel
Windows Media
Windows PDEV
Windows Point-to-Point Tunneling Protocol
Windows Print Spooler Components
Windows Remote Desktop
Windows Security Support Provider Interface
Windows SMB Server
Windows Update Stack
Microsoft Edge Chromium

Adobe After Effects
Adobe Illustrator
Adobe Photoshop

Anbefalinger:

Patch/oppdater berørte produkter
Avinstaller programvare som ikke benyttes
Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
Deaktiver muligheten for å kjøre makroer i alle Office-installasjoner (tillat eventuelt kun makroer som er signert av virksomheten selv)
Deaktiver muligheten for å kjøre ActiveX i alle Office-installasjoner
Herde Office-installasjoner i henhold til anbefalinger fra f.eks. Australian Cyber Security Center [5]

Kilder:
[1] https://msrc.microsoft.com/update-guide
[2] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-23277
[3] https://docs.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019
[4] https://helpx.adobe.com/security/security-bulletin.html
[5] https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/hardening-microsoft-365-office-2021-office-2019-and-office-2016