VARSEL (TLP:CLEAR)

[JustisCERT-varsel] [#082-2021] [TLP:CLEAR] Microsoft, Adobe og Apple-sårbarheter for desember 2021

15-12-2021

Microsoft har publisert 76 nye bulletiner for desember 2021 hvor 7 er vurdert som kritiske og 60 som viktige [1]. Flere av sårbarhetene kan utnyttes til fjernkjøring av kode og til å ta kontroll over brukere og systemer. Vær oppmerksom på «spoofing»-sårbarheten i Windows AppX Installer (CVE-2021-43890, CVSS-score 7.1) [2] som blant annet kan benyttes for å levere skadelig kode (Emotet/Trickbot/Bazaloader). Sårbarheten er observert aktivt utnyttet i phishing-kampanjer.

 

De 7 kritiske sårbarhetene er:

  • CVE-2021-43215 iSNS Server (CVSS-score 9.8)
  • CVE-2021-43899 Microsoft 4K Wireless Display Adapter (CVSS-score 9.8)
  • CVE-2021-42310 Microsoft Defender for IoT (CVSS-score 8.1)
  • CVE-2021-43905 Microsoft Office app (CVSS-score 9.6) 
  • CVE-2021-43233 Remote Desktop Client (CVSS-score 7.5)
  • CVE-2021-43907 Visual Studio Code WSL Extension (CVSS-score 9.8)
  • CVE-2021-43217 Windows Encryption File System (EFS) (CVSS-score 8.1)

 


Adobe har publisert 11 sikkerhetsoppdateringer som dekker 60 CVEer hvor 28 er vurdert som kritiske og 19 som viktige. Adobe Premiere Rush er berørt av 16, Experience Manager av 8, Connect av 1, Photoshop av 3, Prelude av 2, After Effects av 10, Dimension av 6, Premiere Pro av 5, Lightroom av 1 og Audition av 3 sårbarheter (CVSS-score til og med 9.8). Flere av sårbarhetene gjør det mulig for angriper å kjøre vilkårlig kode.

 

Apple har publisert oppdateringen for blant annet Safari, macOS, iOS og iPadOS som retter flere sårbarheter.

 

Se Microsoft [1], Adobe [3] og Apple [4] sine nettsider for flere detaljer om sårbarhetene.

 


Berørte produkter er blant annet:

  • Microsoft ASP.NET Core & Visual Studio
  • Microsoft Azure Bot Framework SDK
  • Microsoft BizTalk ESB Toolkit
  • Microsoft Internet Storage Name Service (iSNS)
  • Microsoft Defender for IoT
  • Microsoft Local Security Authority Server (lsasrv)
  • Microsoft Message Queuing
  • Microsoft Office
  • Microsoft Office SharePoint
  • Microsoft Office Developer Platform
  • Microsoft PowerShell
  • Microsoft Windows Codecs Library
  • Windows Fax Service
  • Windows Hyper-V
  • Microsoft Visual Studio Code
  • Microsoft Visual Studio Code - WSL Extension
  • Windows Common Log File System Driver
  • Windows Digital TV Tuner
  • Windows DirectX
  • Windows Encrypting File System (EFS)
  • Windows Event Tracing
  • Windows Installer
  • Windows Kernel
  • Windows Media
  • Windows Mobile Device Management
  • Windows NTFS
  • Windows Print Spooler Components
  • Windows Remote Access Connection Manager
  • Windows Remote Desktop
  • Windows Shell
  • Windows Storage
  • Windows Storage Spaces Controller
  • Windows SymCrypt
  • Windows TCP/IP
  • Windows Update Stack
     
  • Adobe Premiere Rush
  • Adobe Experience Manager
  • Adobe Connect
  • Adobe Photoshop
  • Adobe Prelude
  • Adobe After Effects
  • Adobe Dimension
  • Adobe Premiere Pro
  • Adobe Media Encoder
  • Adobe Lightroom
  • Adobe Audition
     
  • Apple iOS < 15.2 (iPhone 6s og nyere)
  • Apple iPadOS  < 15.2
  • Apple tvOS  < 15.2
  • Apple watchOS < 8.3
  • Apple macOS Monterey < 12.1
  • Apple macOS Big Sur < 11.6.2
  • Apple macOS Catalina < Security Update 2021-008
  • Apple Safari < 15.2

 


Anbefalinger:

  • Patch/oppdater berørte produkter
  • Avinstaller programvare som ikke benyttes
  • Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
  • Deaktiver muligheten for å kjøre makroer i alle Office-installasjoner (tillat eventuelt kun makroer som er signert av virksomheten selv)
  • Deaktiver muligheten for å kjøre ActiveX i alle Office-installasjoner
  • Herde Office-installasjoner i henhold til anbefalinger fra f.eks. Australian Cyber Security Center [5]

 


Kilder:
[1] https://msrc.microsoft.com/update-guide
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-43890
[3] https://helpx.adobe.com/security.html/security/security-bulletin.ug.html
[4] https://support.apple.com/en-us/HT201222
[5] https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/hardening-microsoft-365-office-2021-office-2019-and-office-2016