[JustisCERT-varsel] [#038-2025] [TLP:CLEAR] Microsoft, Adobe og SAP-sårbarheter for mai 2025

Microsoft sin oppdatering for mai 2025 retter 78 Microsoft CVE, hvor 11 er vurdert som kritisk og 66 som alvorlig. Flere av sårbarhetene kan utnyttes til fjernkjøring av kode, gi utvidede rettigheter og/eller til å ta kontroll over brukere og systemer. De kritiske sårbarhetene berører Microsoft Power Apps, Microsoft Dataverse, Microsoft msagsfeedback.azurewebsites.net, Microsoft Office, Azure Storage Resource Provider, Remote Desktop Client, Microsoft Virtual Machine Bus (VMBus), Azure Automation og Azure DevOps Server. I tillegg har Microsoft rettet 9 CVE siden forrige patche-tirsdag som berører Microsoft Edge Chromium.

Adobe har publisert 13 bulletiner som dekker 40 CVE hvor 32 er vurdert som kritisk (CVSS-score til og med 9.3). Flere av sårbarhetene gjør det mulig for angriper å kjøre vilkårlig kode. De kritiske sårbarhetene berører Adobe Animate, Adobe Bridge, Adobe ColdFusion, Adobe Connect, Adobe Dimension, Adobe Dreamweaver, Adobe Illustrator, Adobe InDesign, Adobe Lightroom, Adobe Photoshop, Adobe Substance 3D Modeler, Adobe Substance 3D Painter og Adobe Substance 3D Stager.

SAP Security Patch Day for mai 2025 inneholder 16 nye bulletiner med CVSS-score til og med 9.1 (kritisk). Den kritiske sårbarheten berører SAP NetWeaver (Visual Composer development server).

Se Microsoft [1], Adobe [2] og SAP [3] sine nettsider for flere detaljer om sårbarhetene.

Berørte produkter er:

• .NET, Visual Studio, and Build Tools for Visual Studio
• Active Directory Certificate Services (AD CS)
• Azure
• Azure Automation
• Azure DevOps
• Azure File Sync
• Azure Storage Resource Provider
• Microsoft Brokering File System
• Microsoft Dataverse
• Microsoft Defender for Endpoint
• Microsoft Defender for Identity
• Microsoft Edge (Chromium-based)
• Microsoft Office
• Microsoft Office SharePoint
• Microsoft PC Manager
• Microsoft Power Apps
• Microsoft Scripting Engine
• Remote Desktop Gateway Service
• Role: Windows Hyper-V
• Universal Print Management Service
• UrlMon
• Visual Studio
• Visual Studio Code
• Web Threat Defense (WTD.sys)
• Windows Ancillary Function Driver for WinSock
• Windows Common Log File System Driver
• Windows Deployment Services
• Windows Drivers
• Windows DWM
• Windows File Server
• Windows Fundamentals
• Windows Hardware Lab Kit
• Windows Installer
• Windows Kernel
• Windows LDAP - Lightweight Directory Access Protocol
• Windows Media
• Windows NTFS
• Windows Remote Desktop
• Windows Routing and Remote Access Service (RRAS)
• Windows Secure Kernel Mode
• Windows SMB
• Windows Trusted Runtime Interface Driver
• Windows Virtual Machine Bus
• Windows Win32K – GRFX
   
• Adobe Animate
• Adobe Bridge
• Adobe ColdFusion
• Adobe Connect
• Adobe Dimension
• Adobe Dreamweaver
• Adobe Illustrator
• Adobe InDesign
• Adobe Lightroom
• Adobe Photoshop
• Adobe Substance 3D Modeler
• Adobe Substance 3D Painter
• Adobe Substance 3D Stager
   
• SAP Business Objects Business Intelligence Platform (PMW)
• SAP Data Services Management Console
• SAP Digital Manufacturing (Production Operator Dashboard)
• SAP Gateway Client
• SAP GUI for Windows
• SAP Landscape Transformation (PCL Basis)
• SAP NetWeaver (Visual Composer development server)
• SAP NetWeaver Application Server ABAP and ABAP Platform
• SAP S/4HANA
• SAP Service Parts Management (SPM)
• SAP Supplier Relationship Management

Anbefalinger:

• Patch/oppdater berørte produkter snarest
• Skru på automatisk oppdatering der det er mulig
• Avinstaller programvare som ikke benyttes
• Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
• Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
• Prioriter systemer som håndterer viktige data (f.eks. personopplysninger) eller på annen måte er viktige for virksomheten
• Sørg for at virksomhetens tjenester (enten de er eksponert kun internt i eget nett eller på internett) kun kan nås av ønskede ressurser
• Bruk phishing-resistent multifactor authentication (MFA), minimum på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
• Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (tillat f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
• Begrens hvilke IP-adresser som kan administrere en løsning til f.eks. kun de faste interne IPene som administratorer av løsningen benytter
• Aktiver IPS-signaturer/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte internetteksponerte løsninger
• Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IOT-enheter og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
• Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig for daglig drift (skru de eventuelt kun på når du trenger de)
• Skru av alle usikre/utgåtte funksjoner (f.eks. TLS v1.0 og v1.1, SMBv1, NTLMv1, FTP, Telnet, SNMP v1 og v2, POP, IMAP, NetBIOS, LLMNR, HTTP)
• Deaktiver muligheten for å kjøre makroer i alle Office-installasjoner (tillat eventuelt kun makroer som er signert av virksomheten selv)
• Deaktiver muligheten for å kjøre ActiveX i alle Office-installasjoner
• Herde Office-installasjoner i henhold til anbefalinger fra f.eks. Australian Cyber Security Center [4]
• Følg NSM Grunnprinsipper for IKT-sikkerhet [5]
• Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [6]

Kilder:
[1] https://msrc.microsoft.com/update-guide/releaseNote/2025-may
[2] https://helpx.adobe.com/security/Home.html
[3] https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2025.html
[4] https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/hardening-microsoft-365-office-2021-office-2019-and-office-2016
[5] https://nsm.no/grunnprinsipper-ikt
[6] https://www.cisa.gov/shields-up