[JustisCERT-varsel] [#039-2023] [TLP:CLEAR] Microsoft, Adobe og SAP-sårbarheter for juni 2023

Microsoft har publisert 69 nye bulletiner for juni 2023 hvor 6 er vurdert som kritisk og 63 som alvorlig. Flere av sårbarhetene kan utnyttes til fjernkjøring av kode, gi utvidede rettigheter og/eller til å ta kontroll over brukere og systemer. De kritiske sårbarhetene berører blant annet Microsoft SharePoint Server, .NET Framework, Visual Studio, Windows Hyper-V og Windows Pragmatic General Multicast (PGM). I tillegg har Microsoft rettet 23 CVE siden forrige patche-tirsdag som berører Microsoft Edge Chromium. [1]

Nye oppdateringer til Exchange (on prem/hybrid) har også blitt publisert. Sårbarheter med CVSS-score til og med 8.8 er rettet. JustisCERT minner om viktigheten av å være på en støttet Exchange Cumulative Update (CU). Dette er nødvendig for å få sikkerhetsoppdateringer. For å se hvilken Exchange CU som er installert, start Exchange Management Shell på hver eneste Exchange-server og kjør kommandoen «Get-Command Exsetup.exe | ForEach {$_.FileVersionInfo}». Sammenlign build nummer du da får med Microsoft sin oversikt for å verifisere at siste CU og oppdatering er installert. [2]

Siste tilgjengelig CU og oppdatering for on-prem Exchange er pr 13. juni 2023:

• Exchange Server 2019 CU13, Jun23SU update (Build number 15.2.1258.16/15.02.1258.016) 
• Exchange Server 2016 CU23, Jun23SU update (Build number 15.1.2507.27/15.01.2507.027)
• Exchange Server 2013 (end of life, får ikke oppdatering)

Adobe har publisert 4 bulletiner som dekker 18 CVE hvor 4 er vurdert som kritisk (CVSS-score 7.5 – 9.1). Flere av sårbarhetene gjør det mulig for angriper å kjøre vilkårlig kode.

SAP Security Patch Day for juni 2023 inneholder 7 nye bulletiner med CVSS-score til og med 8.2 (alvorlig).

Se Microsoft [1], Adobe [3] og SAP [4] sine nettsider for flere detaljer om sårbarhetene.

Berørte produkter er blant annet:

• .NET and Visual Studio
• .NET Core
• .NET Framework
• ASP .NET
• Azure DevOps
• Microsoft Dynamics
• Microsoft Exchange Server
• Microsoft Office
• Microsoft Power Apps
• Microsoft Printer Drivers
• Microsoft SharePoint
• Microsoft WDAC OLE DB provider for SQL
• Microsoft Windows Codecs Library
• NuGet Client
• Remote Desktop Client
• Role: DNS Server
• SysInternals
• Visual Studio
• Visual Studio Code
• Windows Authentication Methods
• Windows Bus Filter Driver
• Windows Cloud Files Mini Filter Driver
• Windows Collaborative Translation Framework
• Windows Container Manager Service
• Windows CryptoAPI
• Windows DHCP Server
• Windows Filtering
• Windows GDI
• Windows Geolocation Service
• Windows Group Policy
• Windows Hello
• Windows Hyper-V
• Windows Installer
• Windows iSCSI
• Windows Kernel
• Windows NTFS
• Windows ODBC Driver
• Windows OLE
• Windows PGM
• Windows Remote Procedure Call Runtime
• Windows Resilient File System (ReFS)
• Windows Server Service
• Windows SMB
• Windows TPM Device Driver
• Windows Win32K
   
• Adobe Animate
• Adobe Commerce og Magento Open Source
• Adobe Experience Manager
• Adobe Substance 3D Designer
    
• SAP CRM (WebClient UI)
• SAP CRM ABAP (Grantor Management)
• SAP Master Data Synchronization (MDS COMPARE TOOL)
• SAP NetWeaver
• SAP NetWeaver (Design Time Repository)
• SAP NetWeaver Enterprise Portal
• SAP Plant Connectivity
• SAP UI5 Variant Management

Anbefalinger:

• Patch/oppdater berørte produkter snarest
• Skru på automatisk oppdatering der det er mulig
• Avinstaller programvare som ikke benyttes
• Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
• Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
• Prioriter systemer som håndterer viktige data (f.eks. personopplysninger) eller på annen måte er viktige for virksomheten
• Sørg for at virksomhetens tjenester (enten de er eksponert kun internt i eget nett eller på internett) kun kan nås av ønskede ressurser
• Bruk multifactor authentication (MFA), minimum på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
• Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (velg f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
• Begrens hvilke IP-adresser som kan administrere en løsning til f.eks. kun de faste interne IPene som administratorer av løsningen benytter
• Aktiver IPS-signaturer/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte internetteksponerte løsninger
• Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IOT-enheter og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
• Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig for daglig drift (skru de eventuelt kun på når du trenger de)
• Skru av alle usikre/utgåtte funksjoner (f.eks. TLS v1.0 og v1.1, SMBv1, NTLMv1, FTP, Telnet, SNMP v1 og v2, POP, IMAP, NetBIOS, LLMNR, HTTP)
• Deaktiver muligheten for å kjøre makroer i alle Office-installasjoner (tillat eventuelt kun makroer som er signert av virksomheten selv)
• Deaktiver muligheten for å kjøre ActiveX i alle Office-installasjoner
• Herde Office-installasjoner i henhold til anbefalinger fra f.eks. Australian Cyber Security Center [5]
• Følg NSM Grunnprinsipper for IKT-sikkerhet [6]
• Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [7]

Kilder:
[1] https://msrc.microsoft.com/update-guide
[2] https://learn.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019
[3] https://helpx.adobe.com/security/security-bulletin.html
[4] https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
[5] https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/hardening-microsoft-365-office-2021-office-2019-and-office-2016
[6] https://nsm.no/grunnprinsipper-ikt
[7] https://www.cisa.gov/shields-up