TRUSSELVURDERING (TLP:CLEAR)

[NorCERT-Varsel] Microsoft patchetirsdag juni 2019

11-06-2019

Microsoft har offentliggjort sine månedlige sikkerhetsoppdateringer i

kveld [1]. Det er totalt 95 bulletiner, hvor 23 er vurdert som kritiske.

 

Microsoft nevner flere sårbarheter relatert til minnehåndtering i

nettlesere. NorCERT vil derfor anbefale å oppdatere da disse kan utnyttes

over internett. Det er nå en måned siden forrige patche-tirsdag hvor

Microsoft rettet CVE-2019-0708, også kjent som BlueKeep. NorCERT vil

anbefale på det sterkeste å patche den sårbarheten dersom det ikke allerede

er gjort da den kan utnyttes uten interaksjon over internett dersom RDP er

eksponert.

 

Om Exploitability Index

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

For hver sårbarhet gir Microsoft en vurdering av sannsynligheten for at den

skal kunne utnyttes. Dette kaller de «exploitability index».

En «exploitability index» på 0 betyr at Microsoft har observert utnyttelse. 1

betyr at Microsoft anser utnyttelse som sannynlig og at det er lett å skrive

stabil utnyttelseskode for sårbarheten. 2 betyr at utnyttelse er mindre

sannsynlig og at stabil utnyttelseskode vil være vanskelig å produsere. 3

betyr at utnyttelse er usannsynlig. N betyr at sårbarheten ikke finnes i

aktuell versjon av programvaren.

Det gis én verdi for den nyeste versjonen av det aktuelle produktet, og én

verdi for de eldre/andre støttede versjonene. Vi markerer sårbarhetene under

med (EI: x,y) hvor x er siste versjon, og y er eldre/andre versjoner.

 

Sårbarheter belyst i dette sårbarhetsvarselet:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

EI(x,y): 1,1

Tittel: Scripting Engine Memory Corruption

CVE-2019-0988

- ----------------------------------------------------------------------------

Retter en sårbarhet i hvordan script motoren i Internet Explorer håndterer

objekter i minne. Sårbarheten gjør det mulig for angriper å manipulere

minne på en slik måte at angriper kan eksekvere vilkårlig kode med samme

privilegier som bruker. Sårbarheten kan utnyttes ved at angriper får bruker

til å besøke en nettside med ondsinnet innhold.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

EI(x,y): 1,1

Tittel: Scripting Engine Memory Corruption

CVE-2019-1055

CVE-2019-0920

CVE-2019-1080

- ----------------------------------------------------------------------------

Microsofts nettlesere inneholder en sårbarhet som har rot i hvordan den

interne skriptmotoren behandler objekter i minnet. En angriper kan utnytte

sårbarheten ved å modifisere minnet slik at han/hun får samme tilgang som

den påloggede brukeren. Dersom denne brukeren har administrative

rettigheter kan dermed angriperen få full tilgang til systemet. For at

angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til

å besøke en spesielt utformet nettside gjennom en av Microsofts nettlesere.

Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en

direktemelding til brukeren, eller ved å sette inn en ActiveX-kontroll

flagget som "safe for initialization" i et program eller i et Office-

dokument.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

EI(x,y): 1,1

Tittel: Microsoft Browser Memory Corruption

CVE-2019-1038

- ----------------------------------------------------------------------------

Retter en sårbarhet i hvordan Microsoft nettlesere håndterer objekter i

minne. Sårbarheten gjør det mulig for angriper å manipulere minne på en

slik måte at angriper kan eksekvere vilkårlig kode med samme privilegier

som bruker. Sårbarheten kan utnyttes ved at angriper får bruker til å

besøke en nettside med ondsinnet innhold.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

EI(x,y): 1,N

Tittel: Chakra Scripting Engine Memory Corruption

CVE-2019-0989

CVE-2019-0991

CVE-2019-0992

CVE-2019-0993

CVE-2019-1002

CVE-2019-1003

CVE-2019-1024

CVE-2019-1051

CVE-2019-1052

- ----------------------------------------------------------------------------

Skriptmotoren ChakraCore inneholder en sårbarhet som har rot i hvordan

skriptmotoren behandler objekter i minnet i Microsoft Edge. Sårbarheten,

som kan føre til fjernekservering, utnyttes ved å endre minnet på en slik

måte at den legger til rette for at en angriper kan kjøre vilkårlig kode i

samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren.

Hvis den påloggede brukeren er logget inn som administrator, kan angriperen

ta kontroll over systemet. For at angriperen skal lykkes med å utnytte

sårbarheten må han/hun få brukeren til å besøke en spesielt utformet

nettside med Microsoft Edge. Dette kan for eksempel gjøres ved at

angriperen sender en e-post eller en direktemelding til brukeren.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

EI(x,y): 1,N

Tittel: Scripting Engine Information Disclosure

CVE-2019-0990

CVE-2019-1023

- ----------------------------------------------------------------------------

Oppdateringen retter en sårbarhet i hvordan script motoren i Microsoft Edge

nettleseren håndterer objekter i minne. Utnyttelse av sårbarheten vil føre

til at en angriper får tilgang på sensitiv informasjon om systemet han

angriper, informasjonen kan så brukes til videre angrep. Sårbarheten kan

utnyttes ved at bruker besøker en nettside med ondsinnet innhold.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

EI(x,y): 2,2

Tittel: ActiveX Data Objects (ADO) Remote Code

CVE-2019-0888

- ----------------------------------------------------------------------------

Oppdatering som retter en sårbarhet i hvordan ActiveX Data Objects (ADO)

håndterer objekter i minne. Sårbarheten gjør det mulig for en ekstern aktør

å eksekvere vilkårlig kode med samme privilegier som innlogget bruker.

Sårbarheten kan for eksempel utnyttes ved at angriper får bruker til å

besøke en nettside med utnyttelseskode.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

EI(x,y): 2,2

Tittel: Windows Hyper-V Remote Code Execution

CVE-2019-0620

CVE-2019-0709

CVE-2019-0722

- ----------------------------------------------------------------------------

Microsoft Hyper-V inneholder en sårbarhet som kan føre til fjernekservering

på en server feiler med å validere inndata fra en uautentisert bruker på et

gjesteoperativsystem. For å utnytte sårbarheten kan en angriper kjøre en

spesielt utformet applikasjon på gjesteoperativsystemet som kan føre til at

Hyper-V-serveren kjører vilkårlig kode. En angriper som vellykket utnytter

sårbarheten kan kjøre vilkårlig kode på Hyper-V-operativsystemet.

Sikkerhetsoppdateringen adresserer sårbarheten ved å rette opp i hvordan

Hyper-V validerer gjesteoperativsystemets inndata fra brukeren.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

EI(x,y): 2,2

Tittel: June 2019 Adobe Flash Security Update

ADV190015

- ----------------------------------------------------------------------------

Adober har sluppet oppdateringer for følgende produkter:

 

APSB19-27 : Sikkerhetsoppdatering for Adobe ColdFusion

Gjelder for ColdFusion versjon 2018, 2016 og 11. 

Retter tre kritiske sårbarheter som kan føre til eksekvering av vilkårlig

kode.

 

APSB19-28 : Sikkerhetsoppdatering for Adobe Campaign

Gjelder for Adobe Campaign Classic.

Retter en kritisk sårbarhet som kan føre til eksekvering av vilkårlig kode.

 

APSB19-30 : Sikkerhetsoppdatering for Adobe Flash Player

Gjelder for Adobe Flash Player for Windows, macOS, Linux og Chrome OS.

Retter en kritisk sårbarhet som kan føre til eksekvering av vilkårlig kode i

samme kontekst som bruker.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

EI(x,y): N,1

Tittel: Microsoft Speech API Remote Code Execution

CVE-2019-0985

- ----------------------------------------------------------------------------

Retting av sårbarhet i hvordan Microsoft Speech API (SAPI) håndterer text-

to-speech data. Sårbarheten ligger i hvordan SAPI gjør minnehåndtering og

muliggjør eksekvering av vilkårlig kode. Sårbarheten kan utnyttes ved at

angriper får bruker til å åpne ett dokument som inneholder text-to-speech

data som kjøres automatisk.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Se Microsoft [1] og Adobe [2] sine nettsider for flere detaljer.

 

NorCERT anbefaler alle å oppdatere programvaren på sine systemer til siste

versjon.

 

Referanser:

[1]https://portal.msrc.microsoft.com/en-us/security-guidance

[2]https://helpx.adobe.com/security.html