VARSEL (TLP:CLEAR)

[JustisCERT-varsel] [#075-2022] [TLP:CLEAR] Microsoft og SAP-sårbarheter for november 2022, kritiske sårbarheter rettet av VMware

09-11-2022

Microsoft har publisert 64 nye bulletiner for november 2022 hvor 11 er vurdert som kritiske og 53 som viktige. Flere av sårbarhetene kan utnyttes til fjernkjøring av kode, gi utvidede rettigheter og/eller til å ta kontroll over brukere og systemer. De kritiske sårbarhetene berører blant annet operativsystemene for server og klient, Azure og on-prem Exchange. De 2 tidligere varslede ([JustisCERT-varsel] [#064-2022]) 0-dagssårbarhetene i on-prem Microsoft Exchange Server (2013, 2016 og 2019) har også mottatt nødvendige oppdateringer. Utnyttelse av disse Exchange-sårbarhetene gjør det mulig for en angriper å fjernkjøre vilkårlig kode (CVE-2022-41082 med CVSS-score 8.8) og/eller utvide sine rettigheter (CVE-2022-41040 med CVSS-score 8.8). I tillegg har Microsoft rettet 14 CVE siden forrige patche-tirsdag som berører Microsoft Edge Chromium. [1]

 

JustisCERT minner om viktigheten av å være på en støttet Exchange Cumulative Update (CU). Dette er nødvendig for å få sikkerhetsoppdateringer. Microsoft Exchange Cumulative oppdateringer (CU) slippes ca hver 3. måned. Virksomheter med on-prem Exchange må alltid benytte siste eller nest siste CU for å motta sikkerhetsoppdateringer. For å se hvilken Exchange CU som er installert, start Exchange Management Shell på hver eneste Exchange-server og kjør kommandoen «Get-Command Exsetup.exe | ForEach {$_.FileVersionInfo}». Sammenlign build nummer du da får med Microsoft sin oversikt for å verifisere at siste CU og oppdatering er installert. [2]

 

Siste tilgjengelig CU og oppdatering for on-prem Exchange er pr 9. november 2022:

  • Exchange Server 2019 CU12, november 2022 update (Build number 15.2.1118.20/15.02.1118.020) 
  • Exchange Server 2016 CU23, november 2022 update (Build number 15.1.2507.16/15.01.2507.016)
  • Exchange Server 2013 CU23, november 2022 update (Build number 15.0.1497.44/15.00.1497.044)

 

 

SAP Security Patch Day for november 2022 inneholder 9 nye bulletiner med CVSS-score til og med 9.9.

 


VMware har rettet 3 kritiske sårbarheter (CVE-2022-31685, CVE-2022-31686 og CVE-2022-31687, alle med CVSS-score 9.8) som berører VMware Workspace ONE Assist.

 


Adobe har foreløpig ikke publisert noen oppdateringer for november 2022.

 


Se Microsoft [1], SAP [3] og VMware [4] sine nettsider for flere detaljer om sårbarhetene.

 

 

Berørte produkter er blant annet:

  • .NET Framework
  • AMD CPU Branch
  • Azure
  • Azure Real Time Operating System
  • Linux Kernel
  • Microsoft Dynamics
  • Microsoft Exchange Server
  • Microsoft Graphics Component
  • Microsoft Office
  • Microsoft Office Excel
  • Microsoft Office SharePoint
  • Microsoft Office Word
  • Network Policy Server (NPS)
  • Open Source Software
  • Role: Windows Hyper-V
  • SysInternals
  • Visual Studio
  • Windows Advanced Local Procedure Call
  • Windows ALPC
  • Windows Bind Filter Driver
  • Windows BitLocker
  • Windows CNG Key Isolation Service
  • Windows Devices Human Interface
  • Windows Digital Media
  • Windows DWM Core Library
  • Windows Extensible File Allocation
  • Windows Group Policy Preference Client
  • Windows HTTP.sys
  • Windows Kerberos
  • Windows Mark of the Web (MOTW)
  • Windows Netlogon
  • Windows Network Address Translation (NAT)
  • Windows ODBC Driver
  • Windows Overlay Filter
  • Windows Point-to-Point Tunneling Protocol
  • Windows Print Spooler Components
  • Windows Resilient File System (ReFS)
  • Windows Scripting
  • Windows Win32K 

 

  • SAP BusinessObjects Business Intelligence Platform (Central Management Console og BI Launchpad)
  • SAPUI5 og SAPUI5 CLIENT RUNTIME
  • SAP NetWeaver Application Server ABAP og ABAP Platform
  • SAP 3D Visual Enterprise Author
  • SAP 3D Visual Enterprise Viewer
  • SAP SQL Anywhere
  • SAP Financial Consolidation
  • SAP Biller Direct
  • SAP GUI for Windows

 

  • VMware Workspace ONE Assist (Assist)

 


Anbefalinger:

  • Avinstaller programvare som ikke benyttes
  • Patch/oppdater berørte produkter
  • Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
  • Skru på automatisk oppdatering der det er mulig
  • Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Deaktiver muligheten for å kjøre makroer i alle Office-installasjoner (tillat eventuelt kun makroer som er signert av virksomheten selv)
  • Deaktiver muligheten for å kjøre ActiveX i alle Office-installasjoner
  • Herde Office-installasjoner i henhold til anbefalinger fra f.eks. Australian Cyber Security Center [5]
  • Bruk multifactor authentication (MFA) på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
  • Aktiver IPS-signaturer/Geo-blokking/DNS-filtrering/Web-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte virksomhetens løsninger
  • Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IOT-enheter og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
  • Følg NSM Grunnprinsipper for IKT-sikkerhet [6]
  • Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [7]

 


Kilder:
[1] https://msrc.microsoft.com/update-guide
[2] https://learn.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019
[3] https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
[4] https://www.vmware.com/security/advisories/VMSA-2022-0028.html
[5] https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/hardening-microsoft-365-office-2021-office-2019-and-office-2016
[6] https://nsm.no/grunnprinsipper-ikt
[7] https://www.cisa.gov/shields-up