SØK
TRUSSELVURDERING (TLP:CLEAR)

[JustisCERT-varsel] [#079-2022] [TLP:CLEAR] Microsoft, Adobe og SAP-sårbarheter for desember 2022

14-12-2022

Microsoft har publisert 50 nye bulletiner for desember 2022 hvor 6 er vurdert som kritisk og 40 som alvorlig. Flere av sårbarhetene kan utnyttes til fjernkjøring av kode, gi utvidede rettigheter og/eller til å ta kontroll over brukere og systemer. Vær spesielt oppmerksom på nulldagssårbarheten i Windows SmartScreen Security Feature (CVE-2022-44698 med CVSS-score 5.4), som berører Windows klient og server. Utnyttelse av sårbarheten gjør det mulig for en angriper å lage en ondsinnet fil (f.eks. som et Office-dokument) som omgår både sikkerhetsfunksjonen Mark of the Web (MOTW) samt Protected View i Microsoft Office. Microsoft opplyser at sårbarheten er observert aktivt utnyttet. Microsoft har rettet kritiske feil i Microsoft Dynamics, SharePoint Server, PowerShell og Windows Secure Socket Tunneling Protocol (SSTP). I tillegg har Microsoft rettet 90 CVE siden forrige patche-tirsdag som berører Microsoft Edge Chromium. [1]

 

Adobe har publisert 3 bulletiner som dekker 38 CVE hvor 36 er vurdert som viktige. Adobe Campaign er berørt av 1 sårbarhet, Adobe Experience Manager av 33 og Adobe Illustrator av 4 (CVSS-score 3.5 – 5.5). Flere av sårbarhetene gjør det mulig for angriper å kjøre vilkårlig kode.

 

SAP Security Patch Day for desember 2022 inneholder 14 nye bulletiner med CVSS-score til og med 9.9 (kritisk).

 


Se Microsoft [1], Adobe [2] og SAP [3] sine nettsider for flere detaljer om sårbarhetene.

 

 

Berørte produkter er blant annet:

  • .NET Framework
  • Azure
  • Client Server Run-time Subsystem (CSRSS)
  • Microsoft Bluetooth Driver
  • Microsoft Dynamics
  • Microsoft Edge (Chromium-based)
  • Microsoft Graphics Component
  • Microsoft Office
  • Microsoft Office OneNote
  • Microsoft Office Outlook
  • Microsoft Office SharePoint
  • Microsoft Office Visio
  • Microsoft Windows Codecs Library
  • Role: Windows Hyper-V
  • SysInternals
  • Windows Certificates
  • Windows Contacts
  • Windows DirectX
  • Windows Error Reporting
  • Windows Fax Compose Form
  • Windows HTTP Print Provider
  • Windows Kernel
  • Windows PowerShell
  • Windows Print Spooler Components
  • Windows Projected File System
  • Windows Secure Socket Tunneling Protocol (SSTP)
  • Windows SmartScreen
  • Windows Subsystem for Linux
  • Windows Terminal

 

  • Adobe Campaign Classic
  • Adobe Experience Manager
  • Adobe Illustrator

 

  • Apache Commons Text in SAP Commerce
  • SAP BASIS
  • SAP BusinessObjects Business Intelligence Platform
  • SAP Business Planning and Consolidation
  • SAP Commerce
  • SAP Disclosure Management
  • SAP NetWeaver AS ABAP (BSP Test Application)
  • SAP NetWeaver AS for Java (Http Provider Service)
  • SAP NetWeaver Process Integration
  • SAP Solution Manager
  • SAP Sourcing and SAP Contract Lifecycle Management 

 


Anbefalinger:

  • Patch/oppdater berørte produkter
  • Avinstaller programvare som ikke benyttes
  • Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
  • Deaktiver muligheten for å kjøre makroer i alle Office-installasjoner (tillat eventuelt kun makroer som er signert av virksomheten selv)
  • Deaktiver muligheten for å kjøre ActiveX i alle Office-installasjoner
  • Herde Office-installasjoner i henhold til anbefalinger fra f.eks. Australian Cyber Security Center [4]
  • Bruk multifactor authentication (MFA) på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
  • Aktiver IPS-signaturer/Geo-blokking/DNS-filtrering/Web-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte virksomhetens løsninger
  • Følg NSM Grunnprinsipper for IKT-sikkerhet [5]
  • Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [6]

 


Kilder:
[1] https://msrc.microsoft.com/update-guide
[2] https://helpx.adobe.com/security/security-bulletin.html
[3] https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
[4] https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/hardening-microsoft-365-office-2021-office-2019-and-office-2016
[5] https://nsm.no/grunnprinsipper-ikt
[6] https://www.cisa.gov/shields-up