TRUSSELVURDERING (TLP HVIT)

[JustisCERT-varsel] [#049-2021] [TLP:HVIT] Microsoft og Adobe-sårbarheter for juli 2021

13-07-2021

Microsoft har publisert 117 nye sikkerhetsoppdateringer for juli 2021, hvor 13 er vurdert som kritiske og 103 som alvorlige. Flere av sårbarhetene kan utnyttes til fjernkjøring av kode og til å ta kontroll over brukere og systemer. Vær spesielt oppmerksom på sårbarheten knyttet til Windows Print Spooler. Denne krever ytterligere registry-innstillinger (kan settes via GPO) for alle systemer der Print Spooler tjenesten er aktivert og har status running/kjører [1]. Installasjon av sikkerhetsoppdateringen alene er ikke tilstrekkelig. 

 

De 13 kritiske sårbarhetene er:
•    CVE-2021-34527 i Windows Print Spooler tjenesten (CVSS score 8.8)
•    CVE-2021-34448 i Microsoft Scripting Engine (CVSS score 6.8)
•    CVE-2021-34473 i Microsoft Exchange Server (CVSS score 9.1)
•    CVE-2021-34474 i Dynamics Business Central (CVSS score 8)
•    CVE-2021-34464 i Microsoft Defender (CVSS score 7.8)
•    CVE-2021-34522 i Microsoft Defender (CVSS score 7.8)
•    CVE-2021-34439 i Microsoft Windows Media Foundation (CVSS score 7.8)
•    CVE-2021-34503 i Microsoft Windows Media Foundation (CVSS score 7.8)
•    CVE-2021-34494 i Windows DNS Server (CVSS score 8.8)
•    CVE-2021-34450 i Windows Hyper-V (CVSS score 8.5)
•    CVE-2021-34458 i Windows Kernel (CVSS score 9.9)
•    CVE-2021-33740 i Windows Media (CVSS score 7.8)
•    CVE-2021-34497 i Windows MSHTML Platform (CVSS score 6.8)

 

 

Adobe har publisert 5 sikkerhetsoppdateringer for 29 CVEer. Produktene Adobe Dimension, Adobe Illustrator, Adobe Framemaker, Adobe Bridge, Adobe Acrobat og Adobe Reader er alle berørt av kritiske sårbarheter (CVSS score til og med 8.8). Sårbarhetene i Adobe Acrobat og Reader gjør det mulig for angriper å kjøre vilkårlig kode dersom en spesialutformet PDF-fil åpnes.

 
Se Microsoft [1] [2] og Adobe [3] sine nettsider for flere detaljer om sårbarhetene.
 

 

Berørte produkter er blant annet:
•    Microsoft Windows (klient og server)
•    Dynamics
•    Exchange Server
•    Microsoft Office
•    Windows Storage Spaces Controller
•    Bing
•    SharePoint Server
•    Internet Explorer (IE)
•    Microsoft Visual Studio
•    OpenEnclave
•    Hyper-V

 

•    Adobe Dimension
•    Adobe Illustrator
•    Adobe Framemaker
•    Adobe Acrobat og Adobe Reader
•    Adobe Bridge 

 


Anbefalinger:
•    Patch/oppdater berørte produkter
•    Avinstaller programvare som ikke benyttes
•    Prioriter systemer som kan nås fra internett
•    For å rette Print Spooler sårbarheten på klienter og servere med Microsoft Windows, sørg for at følgende 2 registry settes under  
     HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint :
     o    NoWarningNoElevationOnInstall = 0 (DWORD) or not defined (default setting)
     o    UpdatePromptSettings = 0 (DWORD) or not defined (default setting)
•    Sørg for at alle eksisterende og nye servere har en policy/GPO som sikrer at Print Spooler tjenesten er stoppet og «Startup type/Oppstartstype» er satt til «Disabled/Deaktivert», bortsett fra de få serverne som benyttes som print-servere eller tilbyr et skrivebord (remote desktop miljø) til virksomhetens brukere der det er behov for å skrive ut
•    For virksomhetens viktigste servere (domenkontrollere, databaseservere, med mer) bør alle tjenester som ikke er helt nødvendig være «Disabled/Deaktivert»

 


Kilder:
[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
[2] https://msrc.microsoft.com/update-guide
[3] https://helpx.adobe.com/security.html