SØK
VARSEL (TLP:CLEAR)

[JustisCERT-varsel] [#031-2023] [TLP:CLEAR] Microsoft, Adobe og SAP-sårbarheter for mai 2023

10-05-2023

Microsoft har publisert 38 nye bulletiner for mai 2023 hvor 7 er vurdert som kritisk og 31 som alvorlig. Flere av sårbarhetene kan utnyttes til fjernkjøring av kode, gi utvidede rettigheter og/eller til å ta kontroll over brukere og systemer. De kritiske sårbarhetene berører blant annet Microsoft SharePoint, Microsoft Outlook, Windows klient og server. Vær også oppmerksom på nulldagssårbarheten i Win32K (CVE-2023-29336 med CVSS-score 7.8), som berører Windows klient og server. Sårbarheten gjør det mulig for en angriper å utvide sine rettigheter på berørte operativsystemer til SYSTEM. Microsoft opplyser at sårbarheten er observert aktivt utnyttet. I tillegg har Microsoft rettet 18 CVE siden forrige patche-tirsdag som berører Microsoft Edge Chromium.

 

Adobe har publisert 1 bulletin som dekker 14 CVE hvor 11 er vurdert som kritiske (CVSS-score 5.5 – 7.8). Flere av sårbarhetene gjør det mulig for angriper å kjøre vilkårlig kode.

 

SAP Security Patch Day for mai 2023 inneholder 18 nye bulletiner med CVSS-score til og med 9.8 (kritisk).

 


Se Microsoft [1], Adobe [2] og SAP [3] sine nettsider for flere detaljer om sårbarhetene.

 


Berørte produkter er blant annet:

  • Microsoft Teams
  • Microsoft Bluetooth Driver
  • Microsoft Graphics Component
  • Microsoft Office
  • Microsoft Office SharePoint
  • Microsoft Office Word
  • Microsoft Windows Codecs Library
  • Reliable Multicast Transport Driver (RMCAST)
  • Remote Desktop Client
  • SysInternals
  • Visual Studio Code
  • Windows Backup Engine
  • Windows Installer
  • Windows iSCSI Target Service
  • Windows Kernel
  • Windows LDAP - Lightweight Directory Access Protocol
  • Windows MSHTML Platform
  • Windows Network File System
  • Windows NFS Portmapper
  • Windows NTLM
  • Windows OLE
  • Windows RDP Client
  • Windows Remote Procedure Call Runtime
  • Windows Secure Boot
  • Windows Secure Socket Tunneling Protocol (SSTP)
  • Windows SMB
  • Windows Win32K

 

  • Adobe Substance 3D Painter

 

  • SAP 3D Visual Enterprise License Manager
  • SAP AS NetWeaver JAVA
  • SAP Business Planning and Consolidation
  • SAP BusinessObjects Business Intelligence Platform
  • SAP BusinessObjects Intelligence Platform
  • SAP BusinessObjects Platform
  • SAP Commerce
  • SAP Commerce (Backoffice)
  • SAP CRM (WebClient UI)
  • SAP GUI for Windows
  • SAP IBP EXCEL ADD-IN
  • SAP PowerDesigner (Proxy)
  • SAPUI5
  • SAP Vendor Master Hierarchy

 


Anbefalinger:

  • Patch/oppdater berørte produkter snarest
  • Skru på automatisk oppdatering der det er mulig
  • Avinstaller programvare som ikke benyttes
  • Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
  • Prioriter systemer som håndterer viktige data (f.eks. personopplysninger) eller på annen måte er viktige for virksomheten
  • Sørg for at virksomhetens tjenester (enten de er eksponert kun internt i eget nett eller på internett) kun kan nås av ønskede ressurser
  • Bruk multifactor authentication (MFA), minimum på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
  • Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (velg f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
  • Begrens hvilke IP-adresser som kan administrere en løsning til f.eks. kun de faste interne IPene som administratorer av løsningen benytter
  • Aktiver IPS-signaturer/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte internetteksponerte løsninger
  • Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IOT-enheter og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
  • Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig for daglig drift (skru de eventuelt kun på når du trenger de)
  • Skru av alle usikre/utgåtte funksjoner (f.eks. TLS v1.0 og v1.1, SMBv1, NTLMv1, FTP, Telnet, SNMP v1 og v2, POP, IMAP, NetBIOS, LLMNR, HTTP)
  • Deaktiver muligheten for å kjøre makroer i alle Office-installasjoner (tillat eventuelt kun makroer som er signert av virksomheten selv)
  • Deaktiver muligheten for å kjøre ActiveX i alle Office-installasjoner
  • Herde Office-installasjoner i henhold til anbefalinger fra f.eks. Australian Cyber Security Center [4]
  • Følg NSM Grunnprinsipper for IKT-sikkerhet [5]
  • Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [6]

 


Kilder:
[1] https://msrc.microsoft.com/update-guide
[2] https://helpx.adobe.com/security/security-bulletin.html
[3] https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
[4] https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/hardening-microsoft-365-office-2021-office-2019-and-office-2016
[5] https://nsm.no/grunnprinsipper-ikt
[6] https://www.cisa.gov/shields-up