VARSEL (TLP:CLEAR)

[JustisCERT-varsel] [#017-2024] [TLP:CLEAR] Microsoft, Adobe og SAP-sårbarheter for februar 2024

13-02-2024

Microsoft har publisert 73 nye bulletiner for februar 2024 hvor 5 er vurdert som kritisk og 65 som alvorlig. Flere av sårbarhetene kan utnyttes til fjernkjøring av kode, gi utvidede rettigheter og/eller til å ta kontroll over brukere og systemer. De kritiske sårbarhetene berører blant annet Windows Hyper-V (CVE-2024-20684), Windows Pragmatic General Multicast (PGM) (CVE-2024-21357), Microsoft Dynamics 365 Business Central (CVE-2024-21380), Microsoft Exchange (CVE-2024-21410) og Microsoft Outlook (CVE-2024-21413). I tillegg har Microsoft rettet 32 CVE siden forrige patche-tirsdag som berører Microsoft Edge Chromium. [1]

 

JustisCERT minner om viktigheten av å være på en støttet Exchange Cumulative Update (CU). Dette er nødvendig for å få sikkerhetsoppdateringer. For å se hvilken Exchange CU som er installert, start Exchange Management Shell på hver eneste Exchange-server og kjør kommandoen «Get-Command Exsetup.exe | ForEach {$_.FileVersionInfo}». Sammenlign build nummer du da får med Microsoft sin oversikt for å verifisere at siste CU og oppdatering er installert. [2]

 

Microsoft anbefaler følgende oppsett for å sikre Exchange mot CVE-2024-21410 med CVSS-score 9.8 (se [3] for detaljer og PowerShell-script):

  • Exchange Server 2019 CU14, 2024H1 (Build number 15.2.1544.04/15.02.1544.004)
  • Exchange Server 2016 CU23, Nov23SU (Build number 15.1.2507.35/15.01.2507.035) + Aktivere «Extended Protection for Authentication (EPA)» ved bruk av PowerShell-script fra Microsoft

 


Adobe har publisert 6 bulletiner som dekker 30 CVE hvor 16 er vurdert som kritisk (CVSS-score til og med 9.8). Flere av sårbarhetene gjør det mulig for angriper å kjøre vilkårlig kode. De kritiske sårbarhetene berører Adobe Commerce og Magento Open Source, Adobe Substance 3D Painter, Adobe Acrobat og Reader, Adobe FrameMaker Publishing Server, Adobe Audition og Adobe Substance 3D Designer.

 


SAP Security Patch Day for februar 2024 inneholder 13 nye bulletiner med CVSS-score til og med 9.1 (kritisk).

 


Se Microsoft [1] [3], Adobe [4] og SAP [5] sine nettsider for flere detaljer om sårbarhetene.

 


Berørte produkter er blant annet:

  • .NET
  • Azure Active Directory
  • Azure Connected Machine Agent
  • Azure DevOps
  • Azure File Sync
  • Azure Site Recovery
  • Azure Stack
  • Internet Shortcut Files
  • Microsoft ActiveX
  • Microsoft Azure Kubernetes Service
  • Microsoft Defender for Endpoint
  • Microsoft Dynamics
  • Microsoft Edge (Chromium-based)
  • Microsoft Exchange Server
  • Microsoft Office
  • Microsoft Teams for Android
  • Microsoft WDAC ODBC Driver
  • Microsoft WDAC OLE DB provider for SQL
  • Microsoft Windows
  • Microsoft Windows DNS
  • Role: DNS Server
  • Skype for Business
  • SQL Server
  • Trusted Compute Base
  • Windows Hyper-V
  • Windows Internet Connection Sharing (ICS)
  • Windows Kernel
  • Windows LDAP - Lightweight Directory Access Protocol
  • Windows Message Queuing
  • Windows OLE
  • Windows SmartScreen
  • Windows USB Serial Driver
  • Windows Win32K – ICOMP
      
  • Adobe Acrobat og Reader
  • Adobe Audition
  • Adobe Commerce og Magento Open Source
  • Adobe FrameMaker Publishing Server
  • Adobe Substance 3D Designer 
  • Adobe Substance 3D Painter
      
  • SAP ABA (Application Basis)
  • SAP BAM (Bank Account Management)
  • SAP Cloud Connector
  • SAP Companion
  • SAP CRM (WebClient UI)
  • SAP Fiori app
  • SAP IDES Systems
  • SAP Master Data Governance Material
  • SAP NetWeaver Application Server ABAP (SAP Kernel)
  • SAP NetWeaver Business Client for HTML
  • SAP NetWeaver AS Java (Guided Procedures)
  • SAP NetWeaver AS Java (User Admin Application)

 


Anbefalinger:

  • Patch/oppdater berørte produkter snarest
  • Skru på automatisk oppdatering der det er mulig
  • Avinstaller programvare som ikke benyttes
  • Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
  • Prioriter systemer som håndterer viktige data (f.eks. personopplysninger) eller på annen måte er viktige for virksomheten
  • Sørg for at virksomhetens tjenester (enten de er eksponert kun internt i eget nett eller på internett) kun kan nås av ønskede ressurser
  • Bruk multifactor authentication (MFA), minimum på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
  • Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (tillat f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
  • Begrens hvilke IP-adresser som kan administrere en løsning til f.eks. kun de faste interne IPene som administratorer av løsningen benytter
  • Aktiver IPS-signaturer/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte internetteksponerte løsninger
  • Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IOT-enheter og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
  • Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig for daglig drift (skru de eventuelt kun på når du trenger de)
  • Skru av alle usikre/utgåtte funksjoner (f.eks. TLS v1.0 og v1.1, SMBv1, NTLMv1, FTP, Telnet, SNMP v1 og v2, POP, IMAP, NetBIOS, LLMNR, HTTP)
  • Deaktiver muligheten for å kjøre makroer i alle Office-installasjoner (tillat eventuelt kun makroer som er signert av virksomheten selv)
  • Deaktiver muligheten for å kjøre ActiveX i alle Office-installasjoner
  • Herde Office-installasjoner i henhold til anbefalinger fra f.eks. Australian Cyber Security Center [6]
  • Følg NSM Grunnprinsipper for IKT-sikkerhet [7]
  • Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [8]

 
 
Kilder:
[1] https://msrc.microsoft.com/update-guide
[2] https://learn.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019
[3] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-21410
[4] https://helpx.adobe.com/security/security-bulletin.html
[5] https://support.sap.com/en/my-support/knowledge-base/security-notes-news/february-2024.html
[6] https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/hardening-microsoft-365-office-2021-office-2019-and-office-2016
[7] https://nsm.no/grunnprinsipper-ikt
[8] https://www.cisa.gov/shields-up