SØK
VARSEL (TLP:CLEAR)

[JustisCERT-varsel] [#098-2024] [TLP:CLEAR] Microsoft, Adobe og SAP-sårbarheter for november 2024

12-11-2024

Microsoft sin oppdatering for november 2024 retter 89 Microsoft CVE, hvor 4 er vurdert som kritisk og 83 som alvorlig. Flere av sårbarhetene kan utnyttes til fjernkjøring av kode, gi utvidede rettigheter og/eller til å ta kontroll over brukere og systemer. De kritiske sårbarhetene berører Airlift.microsoft.com (CVE-2024-49056 med CVSS-score 7.3/6.4), Windows Kerberos (CVE-2024-43639 med CVSS-score 9.8/8.5), Microsoft Windows VMSwitch (CVE-2024-43625 med CVSS-score 8.1/7.1 og .NET and Visual Studio (CVE-2024-43498 med CVSS-score 9.8/8.5). I tillegg har Microsoft rettet 31 CVE siden forrige patche-tirsdag som berører Microsoft Edge Chromium. [1]

 

Nye oppdateringer til Microsoft Exchange Server (on prem/hybrid) har også blitt publisert. Exchange-sårbarheten som er rettet er kategorisert som alvorlig og har CVSS-score 7.5/6.7 (CVE-2024-49040). 

 

JustisCERT minner om viktigheten av å være på en støttet Exchange Cumulative Update (CU). Dette er nødvendig for å få sikkerhetsoppdateringer. For å se hvilken Exchange CU som er installert, start Exchange Management Shell på hver eneste Exchange-server og kjør kommandoen «Get-Command Exsetup.exe | ForEach {$_.FileVersionInfo}». Sammenlign build nummer du da får med Microsoft sin oversikt for å verifisere at siste CU og oppdatering er installert. [2]

 

Siste tilgjengelig CU og oppdatering for on-prem Exchange er pr 12. november 2024:

  • Exchange Server 2019 CU14, Nov24HU (Build number 15.2.1544.13/15.02.1544.013)
  • Exchange Server 2019 CU13, Nov24HU (Build number 15.2.1258.38/15.02.1258.038)
  • Exchange Server 2016 CU23, Nov24HU (Build number 15.1.2507.43/15.01.2507.043)
  • Exchange Server 2013 (end of life, får ikke oppdatering)

 


Adobe har publisert 8 bulletiner som dekker 48 CVE hvor 28 er vurdert som kritisk (CVSS-score til og med 7.8). Flere av sårbarhetene gjør det mulig for angriper å kjøre vilkårlig kode. De kritiske sårbarhetene berører Adobe After Effects, Adobe Substance 3D Painter, Adobe Illustrator, Adobe InDesign, Adobe Photoshop og Adobe Commerce.

 


SAP Security Patch Day for november 2024 inneholder 8 nye bulletiner med CVSS-score til og med 8.8 (alvorlig).

 


Se Microsoft [1] [2], Adobe [3] og SAP [4] sine nettsider for flere detaljer om sårbarhetene.

 


Berørte produkter er:

  • .NET and Visual Studio
  • Airlift.microsoft.com
  • Azure CycleCloud
  • Azure Database for PostgreSQL
  • LightGBM
  • Microsoft Edge Chromium
  • Microsoft Exchange Server
  • Microsoft Graphics Component
  • Microsoft Office
  • Microsoft PC Manager
  • Microsoft Virtual Hard Drive
  • Microsoft Windows DNS
  • Role: Windows Hyper-V
  • SQL Server
  • TorchGeo
  • Visual Studio
  • Visual Studio Code
  • Windows Active Directory Certificate Services
  • Windows CSC Service
  • Windows Defender Application Control (WDAC)
  • Windows DWM Core Library
  • Windows Kerberos
  • Windows Kernel
  • Windows NT OS Kernel
  • Windows NTLM
  • Windows Package Library Manager
  • Windows Registry
  • Windows Registry
  • Windows Secure Kernel Mode
  • Windows SMB
  • Windows SMBv3 Client/Server
  • Windows Task Scheduler
  • Windows Telephony Service
  • Windows Update Stack
  • Windows USB Video Driver
  • Windows VMSwitch
  • Windows Win32 Kernel Subsystem
     
  • Adobe After Effects 
  • Adobe Audition 
  • Adobe Bridge 
  • Adobe Commerce 
  • Adobe Illustrator 
  • Adobe InDesign 
  • Adobe Photoshop  
  • Adobe Substance 3D Painter
     
  • SAP Cash Management (Cash Operations)
  • SAP Host Agent
  • SAP NetWeaver Application Server
  • SAP NetWeaver Application Server for ABAP and ABAP Platform
  • SAP NetWeaver Application Server Java
  • SAP NetWeaver AS Java (System Landscape Directory)
  • SAP NetWeaver Java
  • SAP Web Dispatcher

 


Anbefalinger:

  • Patch/oppdater berørte produkter snarest
  • Skru på automatisk oppdatering der det er mulig
  • Avinstaller programvare som ikke benyttes
  • Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
  • Prioriter systemer som håndterer viktige data (f.eks. personopplysninger) eller på annen måte er viktige for virksomheten
  • Sørg for at virksomhetens tjenester (enten de er eksponert kun internt i eget nett eller på internett) kun kan nås av ønskede ressurser
  • Bruk multifactor authentication (MFA), minimum på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
  • Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (tillat f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
  • Begrens hvilke IP-adresser som kan administrere en løsning til f.eks. kun de faste interne IPene som administratorer av løsningen benytter
  • Aktiver IPS-signaturer/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte internetteksponerte løsninger
  • Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IOT-enheter og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
  • Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig for daglig drift (skru de eventuelt kun på når du trenger de)
  • Skru av alle usikre/utgåtte funksjoner (f.eks. TLS v1.0 og v1.1, SMBv1, NTLMv1, FTP, Telnet, SNMP v1 og v2, POP, IMAP, NetBIOS, LLMNR, HTTP)
  • Deaktiver muligheten for å kjøre makroer i alle Office-installasjoner (tillat eventuelt kun makroer som er signert av virksomheten selv)
  • Deaktiver muligheten for å kjøre ActiveX i alle Office-installasjoner
  • Herde Office-installasjoner i henhold til anbefalinger fra f.eks. Australian Cyber Security Center [5]
  • Følg NSM Grunnprinsipper for IKT-sikkerhet [6]
  • Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [7]

 


Kilder:
[1] https://msrc.microsoft.com/update-guide/releaseNote/2024-Nov
[2] https://learn.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019
[3] https://helpx.adobe.com/security/security-bulletin.html
[4] https://support.sap.com/en/my-support/knowledge-base/security-notes-news/november-2024.html
[5] https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/hardening-microsoft-365-office-2021-office-2019-and-office-2016
[6] https://nsm.no/grunnprinsipper-ikt
[7] https://www.cisa.gov/shields-up