TRUSSELVURDERING (TLP HVIT)

[JustisCERT-varsel] [#057-2022] [TLP:HVIT] Microsoft og Adobe-sårbarheter for august 2022

10-08-2022

Microsoft har publisert 121 bulletiner for august 2022 hvor 17 er vurdert som kritiske og 102 som viktige [1]. Flere av sårbarhetene kan utnyttes til fjernkjøring av kode, gi utvidede rettigheter og/eller til å ta kontroll over brukere og systemer. Vær spesielt oppmerksom på nulldagssårbarheten i Microsoft Windows Support Diagnostic Tool (MSDT), CVE-2022-34713 (CVSS-score 7.8) som berører Windows klient og server [2]. Utnyttelse av sårbarheten gjør det mulig for en angriper å kjøre vilkårlig kode [3] og Microsoft opplyser at sårbarheten er observert aktivt utnyttet. JustisCERT minner også om viktigheten av å oppdatere alle on-prem installasjoner av Exchange da blant annet 3 kritiske sårbarheter (CVE-2022-24516, CVE-2022-24477 og CVE-2022-21980 som alle har CVSS-score 8.0) er rettet i August 2022 Exchange Server Security Updates. I tillegg har Microsoft rettet 25 CVE siden forrige patche-tirsdag som berører Microsoft Edge Chromium.

 

Microsoft Exchange Cumulative oppdateringer (CU) slippes ca hver 3. måned. Virksomheter med on-prem Exchange må alltid benytte siste eller nest siste CU for å motta sikkerhetsoppdateringer. For å se hvilken Exchange CU som er installert, start Exchange Management Shell på hver eneste Exchange-server og kjør kommandoen «Get-command ExSetup | %{$_.Fileversioninfo}» eller «Get-Command Exsetup.exe | ForEach {$_.FileVersionInfo}». Sammenlign build nummer du da får med Microsoft sin oversikt for å verifisere at siste CU og oppdatering er installert. [4]

 

Siste tilgjengelig CU for on-prem Exchange er pr 9. august 2022:

  • Exchange Server 2019 CU12, august 2022 update (Build number 15.2.1118.12/15.02.1118.012) 
  • Exchange Server 2016 CU23, august 2022 update (Build number 15.1.2507.12/15.01.2507.012)
  • Exchange Server 2013 CU23, august 2022 update (Build number 15.0.1497.40/15.00.1497.040)

 

Adobe har publisert 5 bulletiner som dekker 25 CVE hvor 15 er vurdert som kritiske og 9 som viktige. Adobe Acrobat og Reader er berørt av 7 sårbarheter, Adobe Commerce av 7, Adobe FrameMaker av 6, Adobe Illustrator av 4 og Adobe Premiere Elements av 1 (CVSS-score 3.5 – 9.1). Flere av sårbarhetene gjør det mulig for angriper å kjøre vilkårlig kode.

 

 

Se Microsoft [1] og Adobe [5] sine nettsider for flere detaljer om sårbarhetene.

 


Berørte produkter er blant annet:

  • .NET Core
  • Active Directory Domain Services
  • Azure Batch Node Agent
  • Azure Real Time Operating System
  • Azure Site Recovery
  • Azure Sphere
  • Microsoft ATA Port Driver
  • Microsoft Bluetooth Driver
  • Microsoft Edge (Chromium-based)
  • Microsoft Exchange Server
  • Microsoft Office
  • Microsoft Office Excel
  • Microsoft Office Outlook
  • Microsoft Windows Support Diagnostic Tool (MSDT)
  • Remote Access Service Point-to-Point Tunneling Protocol
  • Role: Windows Fax Service
  • Role: Windows Hyper-V
  • System Center Operations Manager
  • Visual Studio
  • Windows Bluetooth Service
  • Windows Canonical Display Driver
  • Windows Cloud Files Mini Filter Driver
  • Windows Defender Credential Guard
  • Windows Digital Media
  • Windows Error Reporting
  • Windows Hello
  • Windows Internet Information Services
  • Windows Kerberos
  • Windows Kernel
  • Windows Local Security Authority (LSA)
  • Windows Network File System
  • Windows Partition Management Driver
  • Windows Point-to-Point Tunneling Protocol
  • Windows Print Spooler Components
  • Windows Secure Boot
  • Windows Secure Socket Tunneling Protocol (SSTP)
  • Windows Storage Spaces Direct
  • Windows Unified Write Filter
  • Windows WebBrowser Control
  • Windows Win32K

 

  • Adobe Acrobat og Reader
  • Adobe Commerce
  • Adobe FrameMaker
  • Adobe Illustrator
  • Adobe Premiere Elements

 


Anbefalinger:

  • Avinstaller programvare som ikke benyttes
  • Patch/oppdater berørte produkter
  • Sørg for at alle on-prem Exchange-installasjoner har august 2022 Security Update (SU) installert [4] og at Windows Extended Protection er aktivert på Exchange-servere der det er anbefalt av Microsoft [6]
  • Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
  • Deaktiver muligheten for å kjøre makroer i alle Office-installasjoner (tillat eventuelt kun makroer som er signert av virksomheten selv)
  • Deaktiver muligheten for å kjøre ActiveX i alle Office-installasjoner
  • Herde Office-installasjoner i henhold til anbefalinger fra f.eks. Australian Cyber Security Center [7]
  • Bruk multifactor authentication (MFA) på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
  • Aktiver IPS-signaturer/Geo-blokking/DNS-filtrering/Web-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte virksomhetens løsninger
  • Følg NSM Grunnprinsipper for IKT-sikkerhet [8]
  • Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [9]

 


Kilder:
[1] https://msrc.microsoft.com/update-guide
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34713
[3] https://justiscert.no/[justiscert-varsel]-[043-2022]-[tlphvit]-nulldagssarbarhet-i-microsoft-windows-support-diagnostic-tool-msdt
[4] https://docs.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019
[5] https://helpx.adobe.com/security/security-bulletin.html
[6] https://techcommunity.microsoft.com/t5/exchange-team-blog/released-august-2022-exchange-server-security-updates/ba-p/3593862
[7] https://www.cyber.gov.au/acsc/view-all-content/publications/hardening-microsoft-office-365-proplus-office-2019-and-office-2016
[8] https://nsm.no/grunnprinsipper-ikt
[9] https://www.cisa.gov/shields-up