SØK
TRUSSELVURDERING (TLP:CLEAR)

[JustisCERT-varsel] [#055-2023] [TLP:CLEAR] Microsoft, Adobe og SAP-sårbarheter for august 2023

08-08-2023

Microsoft har publisert 74 nye bulletiner for august 2023 hvor 6 er vurdert som kritisk og 68 som alvorlig. Flere av sårbarhetene kan utnyttes til fjernkjøring av kode, gi utvidede rettigheter og/eller til å ta kontroll over brukere og systemer. De kritiske sårbarhetene berører blant annet Microsoft Teams, Microsoft Message Queuing og Microsoft Outlook. I tillegg har Microsoft rettet 31 CVE siden forrige patche-tirsdag som berører Microsoft Edge Chromium. [1]

 

Nye oppdateringer til Exchange (on prem/hybrid) har også blitt publisert. Exchange-sårbarhetene som er rettet har CVSS-score til og med 9.8. Vær oppmerksom på at fjerning av sårbarheten CVE-2023-21709 krever både installasjon av august 2023 oppdatering og kjøring av Microsoft-script/PowerShell-kommando på alle Exchange-servere [2].

 

JustisCERT minner om viktigheten av å være på en støttet Exchange Cumulative Update (CU). Dette er nødvendig for å få sikkerhetsoppdateringer. For å se hvilken Exchange CU som er installert, start Exchange Management Shell på hver eneste Exchange-server og kjør kommandoen «Get-Command Exsetup.exe | ForEach {$_.FileVersionInfo}». Sammenlign build nummer du da får med Microsoft sin oversikt for å verifisere at siste CU og oppdatering er installert. [3]
 
Siste tilgjengelig CU og oppdatering for on-prem Exchange er pr 8. august 2023:

  • Exchange Server 2019 CU13, Aug23SU (Build number 15.2.1258.23/15.02.1258.023) 
  • Exchange Server 2016 CU23, Aug23SU (Build number 15.1.2507.31/15.01.2507.031)
  • Exchange Server 2013 (end of life, får ikke oppdatering)

 


Adobe har publisert 4 bulletiner som dekker 37 CVE hvor 18 er vurdert som kritisk (CVSS-score 7.8 - 9.1). Flere av sårbarhetene gjør det mulig for angriper å kjøre vilkårlig kode. De kritiske sårbarhetene berører Adobe Acrobat, Adobe Reader, Adobe Commerce og Adobe Dimension.

 

SAP Security Patch Day for august 2023 inneholder 15 nye bulletiner med CVSS-score til og med 9.8 (kritisk).

 


Se Microsoft [1] [2] [3], Adobe [4] og SAP [5] sine nettsider for flere detaljer om sårbarhetene.

 


Berørte produkter er blant annet:

  • .NET Core
  • .NET Framework
  • ASP.NET and Visual Studio
  • Azure Arc
  • Azure DevOps
  • Azure HDInsights
  • Dynamics Business Central Control
  • Microsoft Dynamics
  • Microsoft Edge (Chromium-based)
  • Microsoft Exchange Server
  • Microsoft Office
  • Microsoft Office SharePoint
  • Microsoft Office Visio
  • Microsoft Teams
  • Microsoft WDAC OLE DB provider for SQL
  • Microsoft Windows Codecs Library
  • Reliability Analysis Metrics Calculation Engine
  • Role: Windows Hyper-V
  • SQL Server
  • Tablet Windows User Interface
  • Windows Bluetooth A2DP driver
  • Windows Cloud Files Mini Filter Driver
  • Windows Common Log File System Driver
  • Windows Cryptographic Services
  • Windows Defender
  • Windows Fax and Scan Service
  • Windows Group Policy
  • Windows HTML Platform
  • Windows Kernel
  • Windows LDAP - Lightweight Directory Access Protocol
  • Windows Message Queuing
  • Windows Mobile Device Management
  • Windows Projected File System
  • Windows Reliability Analysis Metrics Calculation Engine
  • Windows Smart Card
  • Windows System Assessment Tool
  • Windows Wireless Wide Area Network Service

  

  • Adobe Acrobat and Reader
  • Adobe Commerce
  • Adobe Dimension
  • Adobe XMP Toolkit SDK

 

  • SAP Business One
  • SAP BusinessObjects Business Intelligence Platform
  • SAP BusinessObjects Business Intelligence Suite
  • SAP Commerce
  • SAP Commerce Cloud
  • SAP Host Agent 
  • SAP Message Server
  • SAP NetWeaver AS ABAP and ABAP Platform
  • SAP NetWeaver Process Integration
  • SAP PowerDesigner
  • SAP Supplier Relationship Management

 


Anbefalinger:

  • Patch/oppdater berørte produkter snarest
  • Skru på automatisk oppdatering der det er mulig
  • Avinstaller programvare som ikke benyttes
  • Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
  • Prioriter systemer som håndterer viktige data (f.eks. personopplysninger) eller på annen måte er viktige for virksomheten
  • Sørg for at virksomhetens tjenester (enten de er eksponert kun internt i eget nett eller på internett) kun kan nås av ønskede ressurser
  • Bruk multifactor authentication (MFA), minimum på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
  • Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (velg f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
  • Begrens hvilke IP-adresser som kan administrere en løsning til f.eks. kun de faste interne IPene som administratorer av løsningen benytter
  • Aktiver IPS-signaturer/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte internetteksponerte løsninger
  • Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IOT-enheter og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
  • Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig for daglig drift (skru de eventuelt kun på når du trenger de)
  • Skru av alle usikre/utgåtte funksjoner (f.eks. TLS v1.0 og v1.1, SMBv1, NTLMv1, FTP, Telnet, SNMP v1 og v2, POP, IMAP, NetBIOS, LLMNR, HTTP)
  • Deaktiver muligheten for å kjøre makroer i alle Office-installasjoner (tillat eventuelt kun makroer som er signert av virksomheten selv)
  • Deaktiver muligheten for å kjøre ActiveX i alle Office-installasjoner
  • Herde Office-installasjoner i henhold til anbefalinger fra f.eks. Australian Cyber Security Center [6]
  • Følg NSM Grunnprinsipper for IKT-sikkerhet [7]
  • Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [8]

 


Kilder:
[1] https://msrc.microsoft.com/update-guide
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21709
[3] https://learn.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019
[4] https://helpx.adobe.com/security/security-bulletin.html
[5] https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
[6] https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/hardening-microsoft-365-office-2021-office-2019-and-office-2016
[7] https://nsm.no/grunnprinsipper-ikt
[8] https://www.cisa.gov/shields-up