[JustisCERT-varsel] [#002-2022] [TLP:CLEAR] Microsoft og Adobe-sårbarheter for januar 2022
Microsoft har publisert 98 nye bulletiner for januar 2022 hvor 9 er vurdert som kritiske og 89 som viktige [1]. I tillegg har Microsoft alt rettet 24 CVEer som berører Microsoft Edge Chromium tidligere denne måneden. Flere av sårbarhetene kan utnyttes til fjernkjøring av kode og til å ta kontroll over brukere og systemer. Vær spesielt oppmerksom på sårbarhetene i Microsoft Exchange 2013/2016/2019 (CVE-2022-21846, CVE-2022-21855, CVE-2022-21969 som alle har CVSS-score 9.0).
De 9 kritiske sårbarhetene er:
- CVE-2021-22947 Open Source Curl (CVSS-score N/A)
- CVE-2022-21857 Active Directory Domain Services (CVSS-score 8.8)
- CVE-2022-21912 DirectX Graphics Kernel (CVSS-score 7.8)
- CVE-2022-21898 DirectX Graphics Kernel (CVSS-score 7.8)
- CVE-2022-21917 HEVC Video Extensions (CVSS-score 7.8)
- CVE-2022-21907 HTTP Protocol Stack (CVSS-score 9.8)
- CVE-2022-21846 Microsoft Exchange Server (CVSS-score 9.0) [2]
- CVE-2022-21840 Microsoft Office (CVSS-score 8.8)
- CVE-2022-21833 Virtual Machine IDE Drive (CVSS-score 7.8)
Adobe har publisert 5 sikkerhetsoppdateringer som dekker 41 CVEer hvor 28 er vurdert som kritiske og 19 som viktige. Adobe Acrobat og Adobe Reader er berørt av 26, Illustrator av 2, Adobe Bridge av 6, InCopy av 4 og InDesign av 3 sårbarheter (CVSS-score til og med 7.8). Flere av sårbarhetene gjør det mulig for angriper å kjøre vilkårlig kode.
Se Microsoft [1] og Adobe [3] sine nettsider for flere detaljer om sårbarhetene.
Berørte produkter er blant annet:
- Microsoft .NET Framework
- Microsoft Dynamics
- Microsoft Exchange Server
- Microsoft Office
- Microsoft SharePoint
- Microsoft Windows Codecs Library
- Windows Active Directory
- Windows Clipboard User Service
- Windows Cluster Port Driver
- Windows Connected Devices Platform Service
- Windows Cryptographic Services
- Windows Diagnostic Hub
- Windows DirectX
- Windows HTTP Protocol Stack
- Windows Libarchive
- Windows Local Security Authority
- Open Source Software
- Windows RDP
- Windows Remote Procedure Call Runtime
- Windows Secure Boot
- Windows Storage Spaces Controller
- Tablet Windows User Interface
- Windows Task Flow Data Engine
- Windows Tile Data Repository
- Windows Virtual Machine IDE Drive
- Windows Win32K
- Windows Account Control
- Windows AppContracts API Server
- Windows Application Model
- Windows BackupKey Remote Protocol
- Windows Bind Filter Driver
- Windows Certificates
- Windows Cleanup Manager
- Windows Common Log File System Driver
- Windows Defender
- Windows Devices Human Interface
- Windows DWM Core Library
- Windows Event Tracing
- Windows UEFI
- Microsoft Graphics Component
- Windows Geolocation Service
- Microsoft role: Windows Hyper-V
- Windows IKE Extension
- Windows Installer
- Windows Kerberos
- Windows Kernel
- Windows Modern Execution Server
- Windows Push Notifications
- Windows Remote Access Connection Manager
- Windows Resilient File System (ReFS)
- Windows Security Center
- Windows StateRepository API
- Windows Storage
- Windows System Launcher
- Windows UI Immersive Server
- Windows User Profile Service
- Windows User-mode Driver Framework
- Windows Workstation Service Remote Protocol
- Microsoft Edge Chromium
- Adobe Acrobat og Reader
- Adobe Illustrator
- Adobe Bridge
- Adobe InCopy
- Adobe InDesign
Anbefalinger:
- Patch/oppdater berørte produkter
- Avinstaller programvare som ikke benyttes
- Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
- Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
- Deaktiver muligheten for å kjøre makroer i alle Office-installasjoner (tillat eventuelt kun makroer som er signert av virksomheten selv)
- Deaktiver muligheten for å kjøre ActiveX i alle Office-installasjoner
- Herde Office-installasjoner i henhold til anbefalinger fra f.eks. Australian Cyber Security Center [4]
Kilder:
[1] https://msrc.microsoft.com/update-guide
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21846
[3] https://helpx.adobe.com/security.html/security/security-bulletin.ug.html
[4] https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/hardening-microsoft-365-office-2021-office-2019-and-office-2016