[NCSC-varsel] POC til sårbarheter fra Microsoft patchetirsdag oktober 2020

NCSC ønsker å informere om at det nå finnes POC til tre av sårbarhetene fra Microsoft sin månedlige sikkerhetsoppdatering [1], hvorav en av disse er offentlig publisert.

CVE-2020-16898

Sikkerhetsselskapet Sophos har presentert POC som gjør det mulig å kræsje en sårbar Windows-maskin over nettet ved hjelp av et enkelt python script [2]. Det finnes ifølge Sophos to mulige mitigeringer:

1. Skru av IPv6 på den sårbare maskinen.
2. Skru av IPv6 ICMP RDNSS på den sårbare maskinen.

NCSC anbefaler virksomheten å gjøre en vurdering om deres bruk av IPv6 før slike tiltak iverksettes. Merk: Ingen offentlig POC publisert.

CVE-2020-16938

Twitter-brukeren @JonasLyk har presentert POC som gjør det mulig for en bruker å lese rådata fra disker koblet til en maskin [3]. Dette gir ikke direkte RCE muligheter, men passordhasher hentet fra "Windows Security Account Manager"-databasefilen kan videre brukes til å fasilitere eksekvering av kode [4]. Merk: Ingen offentlig POC publisert.

CVE-2020-16952

"Source Incite" har publisert POC som gjør det mulig for en autentisert angriper å kjøre kode på en sårbar Sharepoint-server, i konteksten av lokal administrator [5,6]. Merk: POC publisert offentlig [6].

Anbefalinger:

• NCSC anbefaler alle og oppdatere sårbare systemer.

NCSC-pulsen holdes på nivå 2 (to) på bakgrunn av flere sårbarheter i mye brukte produkter fra Microsoft og Adobe [1][7].

Referanser: 
[1] https://portal.msrc.microsoft.com/en-us/security-guidance
[2] https://nakedsecurity.sophos.com/2020/10/14/windows-ping-of-death-bug-revealed-patch-now/
[3] https://twitter.com/jonasLyk/status/1316104870987010048
[4] https://twitter.com/jonasLyk/status/1316141117059067905
[5] https://srcincite.io/advisories/src-2020-0022/
[6] https://srcincite.io/pocs/cve-2020-16952.py.txt
[7] https://helpx.adobe.com/security.html