TRUSSELVURDERING (TLP:CLEAR)

[NorCERT-varsel] Microsoft patchetirsdag mai 2019

14-05-2019

Microsoft har offentliggjort sine månedlige sikkerhetsoppdateringer i kveld

[1]. Det er totalt 82 bulletiner, hvor 21 er vurdert som kritisk. Flere av

sårbarhetene kan utnyttes til å fjernkjøre kode og ta kontroll over brukere og

systemer.

 

De kritiske sårbarhetene påvirker blant annet Microsoft Word, Windows Server

sin DHCP-tjener, Windows Graphics Device Interface (GDI), Remote Desktop

Services (RDP), samt Microsofts nettlesere generelt og Microsoft Edge

spesielt. Disse sårbarhetene er gjennomgått i mer detaljer under.

 

Microsoft har i tillegg observert aktiv utnyttelse av en mindre kritisk

sårbarhet, CVE-2019-0863. Dette er en sårbarhet i Windows Error Reporting

(WER) og kan utnyttes til å kjøre vilkårlig kode i kernel-modus. For å utnytte

sårbarheten kreves upriviligert kodeeksekvering på et berørt system.

 

Adobe [2] har også publisert kritiske sikkerhetsoppdateringer for Adobe

Acrobat og Reader, Adobe Flash Player og Adobe Media Encoder.

 

NorCERT-pulsen blir satt opp til nivå to (2) grunnet sårbarheter i mye brukte

produkter fra Microsoft og Adobe. Se Microsoft [1] og Adobe [2] sine nettsider

for flere detaljer om sårbarhetene.

 

NorCERT anbefaler systemeiere å oppdatere programvaren på sine systemer til

siste versjon så snart det lar seg gjøre.

 

Referanser:

[1] https://portal.msrc.microsoft.com/en-us/security-guidance

[2] https://helpx.adobe.com/security.html

 

Om Exploitability Index

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

For hver sårbarhet gir Microsoft en vurdering av sannsynligheten for at den

skal kunne utnyttes. Dette kaller de «exploitability index».

 

En «exploitability index» på 0 betyr at Microsoft har observert utnyttelse. 1

betyr at Microsoft anser utnyttelse som sannynlig og at det som lett å skrive

stabil utnyttelseskode for sårbarheten. 2 betyr at utnyttelse er mindre

sannsynlig og at stabil utnyttelseskode vil være vanskelig å produsere. 3

betyr at utnyttelse er usannsynlig. N betyr at sårbarheten ikke finnes i

den/de versjonen(e) av programvaren.

 

Det gis én verdi for den nyeste versjonen av det aktuelle produktet, og én

verdi for de eldre/andre støttede versjonene. Vi markerer sårbarhetene under

med (EI: x,y) hvor x er siste versjon, og y er eldre/andre versjoner.

 

Sårbarheter belyst i dette sårbarhetsvarselet:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

EI(x,y): 1,1

Tittel: Scripting Engine Memory Corruption

CVE-2019-0884

CVE-2019-0911

- ------------------------------------------------------------------------------

Microsofts nettlesere har en sårbarhet i hvordan skriptmotoren håndterer

objekter i minnet. Sårbarheten kan utnyttes ved å endre minnet på en slik måte

at en angriper kan kjøre vilkårlig kode med samme rettigheter som den

påloggede brukeren. Hvis den påloggede brukeren er en administrator, kan

angriperen ta kontroll over systemet. En angriper kan utnytte sårbarheten ved

å få brukeren til å besøke en spesielt utformet nettside gjennom en av

Microsofts nettlesere. Dette kan for eksempel gjøres ved at angriperen sender

en e-post eller en direktemelding til brukeren med en lenke som brukeren kan

klikke på, eller ved å sette inn en ActiveX-kontroll merket som "safe for

initialization" i et program eller i et Office-dokument.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

EI(x,y): 1,1

Tittel: GDI+ Remote Code Execution Vulnerability

CVE-2019-0903

- ------------------------------------------------------------------------------

Windows Graphics Device Interface (GDI) har en sårbarhet som kan resultere i

fjernkjøring av vilkårlig kode. Sårbarheten skyldes hvordan GDI håndterer

objekter i minnet. En angriper som utnytter sårbarheten kan ta kontroll over

systemet. Brukere konfigurert med mindre rettigheter kan være mindre påvirket

enn brukere med administratorrettigheter. Sårbarheten kan utnyttes ved å få en

bruker til å åpne en spesielt utformet nettside eller et spesielt utformet

dokument.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

EI(x,y): 1,N

Tittel: Microsoft Edge Memory Corruption

CVE-2019-0926

- ------------------------------------------------------------------------------

Microsoft Edge har en sårbarhet i hvordan den aksesserer objekter i minnet.

Sårbarheten kan korruptere minnet på en slik måte at en angriper kan kjøre

vilkårlig kode med samme rettigheter som den påloggede brukeren. Hvis den

påloggede brukeren er en administrator, kan angriperen ta kontroll over

systemet. En angriper kan utnytte sårbarheten ved å få brukeren til å besøke

en spesielt utformet nettside med Microsoft Edge. Dette kan for eksempel

gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren

med en lenke som brukeren kan klikke på.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

EI(x,y): 1,N

Tittel: Internet Explorer Memory Corruption

CVE-2019-0929

- ------------------------------------------------------------------------------

Internet Explorer har en sårbarhet i hvordan Internet Explorer aksesserer

objekter i minnet. Sårbarheten kan utnyttes ved å endre minnet på en slik måte

at en angriper kan kjøre vilkårlig kode med samme rettigheter som den

påloggede brukeren. Hvis den påloggede brukeren er en administrator, kan

angriperen ta kontroll over systemet. En angriper kan utnytte sårbarheten ved

å få brukeren til å besøke en spesielt utformet nettside med Microsoft Edge.

Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en

direktemelding til brukeren med en lenke som brukeren kan klikke på.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

EI(x,y): 1,N

Tittel: May 2019 Adobe Flash Security Update

ADV190012

- ------------------------------------------------------------------------------

Denne oppdateringen adresserer følgende sårbarhet, som er beskrevet i Adobe

Security Bulletin APSB19-26: CVE-2019-7837.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

EI(x,y): 2,2

Tittel: Microsoft Word Remote Code Execution

CVE-2019-0953

- ------------------------------------------------------------------------------

Microsoft Word har en sårbarhet som kan resultere i fjernkjøring av vilkårlig

kode. Sårbarheten skyldes hvordan objekter håndteres i minnet til Windows

Word. En angriper kan utnytte sårbarheten ved å bruke en spesielt utformet fil

til å utføre handlinger på systemet med brukerens rettigheter.  Sårbarheten

kan utnyttes ved å få en bruker til å åpne en spesielt utformet fil i en

berørt versjon av Windows Word.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

EI(x,y): 2,2

Tittel: Windows DHCP Server Remote Code Execution

CVE-2019-0725

- ------------------------------------------------------------------------------

Windows Server DHCP-tjenesten har en minnekorrupsjonssårbarhet ved

prosessering av spesielt utformede pakker. En angriper kan utnytte sårbarheten

til å kjøre vilkårlig kode på DHCP-tjeneren.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

EI(x,y): 2,N

Tittel: Chakra Scripting Engine Memory Corruption

CVE-2019-0912

CVE-2019-0913

CVE-2019-0914

CVE-2019-0915

CVE-2019-0916

CVE-2019-0917

CVE-2019-0924

CVE-2019-0925

CVE-2019-0927

CVE-2019-0933

CVE-2019-0937

- ------------------------------------------------------------------------------

Chakra-skriptmotoren har en sårbarhet i hvordan den objekter i minnet til

Microsoft Edge. Sårbarheten kan utnyttes ved å endre minnet på en slik måte at

en angriper kan kjøre vilkårlig kode med samme rettigheter som den påloggede

brukeren. Hvis den påloggede brukeren er en administrator, kan angriperen ta

kontroll over systemet. En angriper kan utnytte sårbarheten ved å få brukeren

til å besøke en spesielt utformet nettside med Microsoft Edge. Dette kan for

eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til

brukeren med en lenke som brukeren kan klikke på.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

EI(x,y): N,1

Tittel: Remote Desktop Services Remote Code

CVE-2019-0708

- ------------------------------------------------------------------------------

Remote Desktop Services, tidligere kjent som Terminal Services, har en

sårbarhet som kan resultere i fjernkjøring av vilkårlig kode. Sårbarheten kan

utnyttes ved å koble til et system med RDP og sende spesielt utformede

forespørsler. Sårbarheten er pre-autentisering og krever ikke

brukerinteraksjon.

 

- ------------------------------------------------------------------------------