SØK
VARSEL (TLP:CLEAR)

[JustisCERT-varsel] [#064-2025] [TLP:CLEAR] Microsoft, Adobe og SAP-sårbarheter for september 2025

09-09-2025

Microsoft sin oppdatering for september 2025 retter 86 CVE, hvor 8 er vurdert som kritisk. Flere av sårbarhetene kan utnyttes til fjernkjøring av kode, gi utvidede rettigheter og/eller til å ta kontroll over brukere og systemer. De kritiske sårbarhetene berører Graphics Kernel, Microsoft Office, Windows Graphics Component, Windows Hyper-V, Windows Imaging Component og Windows NTLM (CVSS-score til og med 8.8). I tillegg har Microsoft rettet 12 CVE siden forrige patche-tirsdag som berører Microsoft Edge Chromium.

 

Adobe har publisert 9 bulletiner som dekker 22 CVE hvor 12 er vurdert som kritisk (CVSS-score til og med 9.1). Flere av sårbarhetene gjør det mulig for angriper å kjøre vilkårlig kode. De kritiske sårbarhetene berører Adobe Acrobat and Reader, Adobe ColdFusion, Adobe Commerce, Adobe Commerce B2B, Adobe Dreamweaver, Adobe Experience Manager (AEM), Adobe Premiere Pro, Adobe Substance 3D Modeler, Adobe Substance 3D Viewer og Magento Open Source.

 

SAP Security Patch Day for september 2025 inneholder 21 nye bulletiner med CVSS-score til og med 10.0 (kritisk). De kritiske sårbarhetene berører SAP NetWeaver, SAP NetWeaver AS Java (Deploy Web Service) og SAP Netweaver (RMI-P4).

 


Se Microsoft [1], Adobe [2] og SAP [3] sine nettsider for flere detaljer om sårbarhetene.

 


Berørte produkter er:

  • Azure Arc
  • Azure Windows Virtual Machine Agent
  • Capability Access Management Service (camsvc)
  • Graphics Kernel
  • Microsoft AutoUpdate (MAU)
  • Microsoft Brokering File System
  • Microsoft Edge (Chromium-based)
  • Microsoft Graphics Component
  • Microsoft High Performance Compute Pack (HPC)
  • Microsoft Office
  • Microsoft SharePoint
  • Microsoft Office Visio
  • Microsoft Virtual Hard Drive
  • Role: Windows Hyper-V
  • SQL Server
  • Windows Ancillary Function Driver for WinSock
  • Windows BitLocker
  • Windows Bluetooth Service
  • Windows Connected Devices Platform Service
  • Windows Defender Firewall Service
  • Windows DWM
  • Windows Imaging Component
  • Windows Internet Information Services
  • Windows Kernel
  • Windows Local Security Authority Subsystem Service (LSASS)
  • Windows Management Services
  • Windows MapUrlToZone
  • Windows MultiPoint Services
  • Windows NTFS
  • Windows NTLM
  • Windows PowerShell
  • Windows Routing and Remote Access Service (RRAS)
  • Windows SMB
  • Windows SMBv3 Client
  • Windows SPNEGO Extended Negotiation
  • Windows TCP/IP
  • Windows UI XAML Maps MapControlSettings
  • Windows UI XAML Phone DatePickerFlyout
  • Windows Win32K - GRFX
  • Xbox
     
  • Adobe Acrobat and Reader
  • Adobe After Effects
  • Adobe ColdFusion
  • Adobe Commerce
  • Adobe Commerce B2B
  • Adobe Dreamweaver
  • Adobe Experience Manager (AEM)
  • Adobe Premiere Pro
  • Adobe Substance 3D Modeler
  • Adobe Substance 3D Viewer
  • Magento Open Source
     
  • SAP Business One (SLD)
  • SAP Business Planning and Consolidation
  • SAP BusinessObjects Business Intelligence Platform
  • SAP Commerce Cloud
  • SAP Commerce Cloud and SAP Datahub
  • SAP Fiori App (Manage Payment Blocks)
  • SAP Fiori App (F4044 Manage Work Center Groups)
  • SAP HCM (Approve Timesheets Fiori 2.0 application)
  • SAP HCM (My Timesheet Fiori 2.0 application)
  • SAP Landscape Transformation Replication Server
  • SAP NetWeaver
  • SAP Netweaver (RMI-P4)
  • SAP NetWeaver (Service Data Download)
  • SAP NetWeaver ABAP Platform
  • SAP NetWeaver Application Server for ABAP (Background Processing)
  • SAP NetWeaver Application Server Java
  • SAP NetWeaver AS Java (Adobe Document Service)
  • SAP NetWeaver AS Java (Deploy Web Service)
  • SAP NetWeaver AS Java (IIOP Service)
  • SAP S/4HANA (Private Cloud or On-Premise)
  • SAP Supplier Relationship Management

 


Anbefalinger:

  • Patch/oppdater berørte produkter snarest
  • Skru på automatisk oppdatering der det er mulig
  • Avinstaller programvare som ikke benyttes
  • Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
  • Prioriter systemer som håndterer viktige data (f.eks. personopplysninger) eller på annen måte er viktige for virksomheten
  • Sørg for at virksomhetens tjenester (enten de er eksponert kun internt i eget nett eller på internett) kun kan nås av ønskede ressurser
  • Bruk phishing-resistent multifactor authentication (MFA), minimum på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
  • Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (tillat f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
  • Begrens hvilke IP-adresser som kan administrere en løsning til f.eks. kun de faste interne IPene som administratorer av løsningen benytter
  • Aktiver IPS-signaturer/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte internetteksponerte løsninger
  • Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IOT-enheter og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
  • Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig for daglig drift (skru de eventuelt kun på når du trenger de)
  • Skru av alle usikre/utgåtte funksjoner (f.eks. TLS v1.0 og v1.1, SMBv1, NTLMv1, FTP, Telnet, SNMP v1 og v2, POP, IMAP, NetBIOS, LLMNR, HTTP)
  • Deaktiver muligheten for å kjøre makroer i alle Office-installasjoner (tillat eventuelt kun makroer som er signert av virksomheten selv)
  • Deaktiver muligheten for å kjøre ActiveX i alle Office-installasjoner
  • Herde Office-installasjoner i henhold til anbefalinger fra f.eks. Australian Cyber Security Center [4]
  • Følg NSM Grunnprinsipper for IKT-sikkerhet [5]
  • Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [6]

 


Kilder:
[1] https://msrc.microsoft.com/update-guide/releaseNote/2025-Sep
[2] https://helpx.adobe.com/security/Home.html
[3] https://support.sap.com/en/my-support/knowledge-base/security-notes-news/september-2025.html
[4] https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/hardening-microsoft-365-office-2021-office-2019-and-office-2016
[5] https://nsm.no/grunnprinsipper-ikt
[6] https://www.cisa.gov/shields-up