[JustisCERT-varsel] [#074-2021] [TLP:CLEAR] Microsoft og Adobe-sårbarheter for november 2021

Microsoft har publisert 55 nye bulletiner for november 2021 hvor 6 er vurdert som kritisk og 49 som alvorlig [1]. Flere av sårbarhetene kan utnyttes til fjernkjøring av kode og til å ta kontroll over brukere og systemer. Vær spesielt oppmerksom på sårbarheten i Microsoft Exchange 2016/2019 (CVE-2021-4231 CVSS-score 8.8) [2] hvilket er observert aktivt utnyttet. Sårbarheten tillater en autentisert bruker å fjernkjøre kode for å ta over systemet.

Sikkerhetsoppdateringene for Exchange er tilgjengelig for Exchange 2016 CU21-CU22 og Exchange 2019 CU10-CU11. Dersom virksomheten har Exchange-servere med eldre CU, må denne oppdateres før sikkerhetsoppdateringen kan installeres [3]. Verifiser om sikkerhetsoppdateringen for Exchange er installert ved bruk av PowerShell-kommandoen (kjøres på hver enkelt Exchange-server): Get-command ExSetup | %{$_.Fileversioninfo}

Riktig Exchange-versjon etter installert november-oppdatering [4] skal være:

Exchange server 2016

• CU21: 15.01.2308.020
• CU22: 15.01.2375.017

Exchange server 2019

• CU10: 15.02.0922.019
• CU11: 15.02.0986.014

De 6 kritiske Microsoft-sårbarhetene er:

• CVE-2021-42279 Chakra Scripting Engine (CVSS-score 4.2)
• CVE-2021-42298 Microsoft Defender (CVSS-score 7.8)
• CVE-2021-42316 Microsoft Dynamics 365 On-prem (CVSS-score 8.7)
• CVE-2021-26443 Microsoft Virtual Machine Bus (CVSS-score 9)
• CVE-2021-3711 OpenSSL SM2 Decryption (CVSS-score 9.8)
• CVE-2021-3866 Remote Desktop Client (CVSS-score 8.8)

Adobe har publisert 3 sikkerhetsoppdateringer som dekker 4 CVEer. Adobe Incopy er berørt av 2 sårbarheter (CVSS-score til og med 7.8). To av sårbarhetene gjør det mulig for angriper å kjøre vilkårlig kode.

Se Microsoft [1] og Adobe [5] sine nettsider for flere detaljer om sårbarhetene.

Berørte produkter er blant annet:

• Active Directory Domain Services
• Azure RTOS
• Azure Sphere
• Microsoft Windows (klient og server)
• Microsoft Office
• Microsoft Edge Chromium
• Microsoft Exchange (2013/2016/2019)
• Microsoft Defender
• Microsoft Dynamics 365 (on-prem)
• Microsoft Remote Desktop Client
• Microsoft Visual Studio Code
• Windows Core Shell
• Windows Hello
• Windows Hyper-V
• Windows Remote Desktop Protocol
   
• Adobe Creative Cloud Desktop (macOS)
• Adobe InCopy
• Adobe RoboHelp Server

Anbefalinger:

• Patch/oppdater berørte produkter
• Avinstaller programvare som ikke benyttes
• Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
• Prioriter patching av Exchange
• Prioriter systemer som kan nås fra internett
• Deaktiver muligheten for å kjøre makroer i alle Office-installasjoner (tillat eventuelt kun makroer som er signert av virksomheten selv)
• Deaktiver muligheten for å kjøre ActiveX i alle Office-installasjoner
• Herde Office-installasjoner i henhold til anbefalinger fra f.eks. Australian Cyber Security Center [6]

Kilder:
[1] https://msrc.microsoft.com/update-guide 
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42321
[3] https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2021-exchange-server-security-updates/ba-p/2933169
[4] https://docs.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019
[5] https://helpx.adobe.com/security.html/security/security-bulletin.ug.html
[6] https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/hardening-microsoft-365-office-2021-office-2019-and-office-2016