Microsoft sikkerhetsoppdateringer for august 2018

Publisert: 15.08.2018

Microsoft har offentliggjort sine månedlige sikkerhetsoppdateringer [1]. Det er totalt 63 bulletiner, hvor 20 er vurdert som kritiske.

Denne månedens oppdatering adresserer flere sårbarheter som kan utnyttes av en angriper til å ta kontroll over brukere og systemer. De fleste sårbarhetene krever at brukere utfører aktive handlinger som å besøke nettsider, åpne dokumenter eller kjøre filer.

Den kritiske sårbarheten i scripting-motoren til Internet Explorer, CVE-2018-8373, skal ha blitt observert aktivt utnyttet. En mindre kritisk sårbarhet i Windows Shell, CVE-2018-8414, skal også ha blitt observert aktivt utnyttet, men denne sårbarheten forekommer ikke i dette varselet da den ikke er vurdert til kritisk.

Sårbarheter belyst i dette sårbarhetsvarselet:

August 2018 Adobe Flash Security Update
Tittel ADV180020
Exploitability Index (EI(x,y)) 1, 1

Oppdateringen adresserer følgende sårbarheter, som er forklart i Adobe
Security Bulletin APSB18-25:

CVE-2018-12824, CVE-2018-12825, CVE-2018-12826, CVE-2018-12827, CVE-2018-12828.

LNK Remote Code Execution Vulnerability
Referanse CVE-2018-8345
EI(x,y) 1, 1

En sårbarhet som åpner for fjernkjøring av kode i Microsoft Windows. Sårbarheten kan tillate fjernkjøring av kode dersom en .LNK-fil blir prosessert. En angriper som vellykket utnytter sårbarheten kan oppnå samme rettigheter som den aktive brukeren. En angriper kan presentere en ekstern disk eller nettverksdisk til brukeren som inneholder en ondsinnet .LNK-fil med en assosiert ondsinnet binærfil. Når brukeren åpner denne disken i Windows Explorer eller andre applikasjoner som parser .LNK-filen, vil den ondsinnede binærfilen eksekvere angriperkontrollert kode på systemet. Oppdateringen adresserer sårbarheten ved å korrigere prosesseringen av LNK-referanser.

Scripting Engine Memory Corruption
Referanse CVE-2018-8385
CVE-2018-8372
CVE-2018-8355
EI(x,y) 1, 1

En sårbarhet som åpner for fjernkjøring av kode finnes i hvordan scripting-motoren i Microsoft-nettlesere håndterer objekter i minnet. Sårbarheten kan føre til minnekorrupsjon på en slik måte at angriper kan eksekvere vilkårlig kode med samme rettigheter som den aktive brukeren. En angriper kan bruke en spesielt utformet nettside, en kompromittert nettside, eller en nettside hvor angriper kontrollerer innhold eller reklame til å utnytte sårbarheten. En angriper kan også inkludere en ActiveX-kontroller i en applikasjon eller Microsoft Office dokument. Oppdateringen adresserer sårbarheten ved å modifisere hvordan scripting-motoren håndterer objekter i minnet.

Microsoft Graphics Remote Code Execution
Referanse CVE-2018-8344
EI(x,y) 1, 1

En sårbarhet som åpner for fjernkjøring av kode finnes i hvordan Windows fontbiblioteket feilhåndterer spesielt utformede innebygde fonter. En angriper som vellykket utnytter sårbarheten kan ta kontroll over systemet. Det er flere måter å utnytte sårbarheten på. I et nettbasert scenario, kan en angriper bruke en spesielt utformet nettside, en kompromittert nettside, eller en nettside hvor angriper kontrollerer innhold til å utnytte sårbarheten. En angriper har ingen måte å tvinge en bruker til å laste angriperkontrollert innhold, men må overtale en bruker typisk gjennom e-post eller direktemelding. I et fildelingsscenario, kan en angriper gi en spesielt utformet dokumentfil designet for å utnytte sårbarheten og deretter overtale brukere til å åpne dokumentfilen. Oppdateringen adresserer sårbarheten ved å korrigere hvordan Windows
fontbiblioteket håndterer innebygde fonter.

Microsoft Browser Memory Corruption
Refeanse CVE-2018-8403
EI(x,y) 1, 1

En sårbarhet som åpner for fjernkjøring av kode finnes i hvordan Microsoft-nettlesere aksesserer objekter i minnet. Sårbarheten kan føre til minnekorrupsjon på en slik måte at angriper kan eksekvere vilkårlig kode
med samme rettigheter som den aktive brukeren. Hvis brukeren er pålogget med administratorrettigheter, kan en angriper ta kontroll over systemet. En angriper kan bruke en spesielt utformet nettside, en kompromittert nettside, eller en nettside hvor angriper kontrollerer innhold til å utnytte sårbarheten. En angriper har ingen måte å tvinge en bruker til å laste angriperkontrollert innhold. Oppdateringen adresserer sårbarheten ved å modifisere hvordan Microsoft-nettlesere håndterer objekter i minnet.

Chakra Scripting Engine Memory Corruption
Referanse CVE-2018-8266
CVE-2018-8380
CVE-2018-8381
CVE-2018-8384
EI(x,y) 1, N

En sårbarhet som åpner for fjernkjøring av kode finnes i måten Chakra scripting-motoren håndterer objekter i minnet i Microsoft Edge. Sårbarheten kan føre til minnekorrupsjon på en slik måte at en angriper kan eksekvere vilkårlig kode med samme rettigheter som den aktive brukeren. Hvis brukeren
er pålogget med administratorrettigheter kan en angriper ta kontroll over systemet. En angriper kan bruke en spesielt utformet nettside, en kompromittert nettside eller en nettside hvor angriper kontrollerer innhold til å utnytte sårbarheten. Oppdateringen adresserer sårbarheten ved å modifisere hvordan Chakra scripting-motoren håndterer objekter i minnet.

Microsoft Edge Memory Corruption
Referanse CVE-2018-8387
CVE-2018-8377
EI(x,y) 1, N

En sårbarhet som åpner for fjernkjøring av kode oppstår når Microsoft Edge på feil måte aksesserer objekter i minnet. Sårbarheten kan føre til minnekorrupsjon på en slik måte at en angriper kan eksekvere vilkårlig kode med samme rettigheter som den aktive brukeren. Hvis brukeren er pålogget med administratorrettigheter kan angriperen ta kontroll over systemet. En angriper kan bruke en spesielt utformet nettside, en kompromittert nettside eller en nettside hvor angriper kontrollerer innhold
til å utnytte sårbarheten. En angriper har ingen måte å tvinge en bruker til å laste angriperkontrollert innhold, men må overtale en bruker typisk gjennom e-post eller direktemelding. Oppdateringen adresserer
sårbarheten ved å modifisere hvordan Microsoft Edge håndterer objekter i minnet.

Scripting Engine Memory Corruption
Referanse CVE-2018-8359
CVE-2018-8390
EI(x,y) 1, N

En sårbarhet som åpner for fjernkjøring av kode finnes i hvordan ChakraCore scripting-motoren håndterer objekter i minnet. Sårbarheten kan føre til minnekorrupsjon på en slik måte at en angriper kan eksekvere vilkårlig kode med samme rettigheter som den aktive brukeren. Hvis brukeren er pålogget med administratorrettigheter kan en angriper ta kontroll over systemet. Oppdateringen adresserer sårbarheten ved å modifisere hvordan ChakraCore scripting-motoren håndterer objekter i minnet.

Scripting Engine Memory Corruption
Referanse CVE-2018-8373
EI(x,y) 2, 0

En sårbarhet som åpner for fjernkjøring av kode finnes i hvordan scripting-motoren i Internet Explorer håndterer objekter i minnet. Sårbarheten kan føre til minnekorrupsjon på en slik måte at angriper kan eksekvere vilkårlig kode med samme rettigheter som den aktive brukeren. Hvis brukeren er pålogget med administratorrettigheter kan en angriper ta kontroll over systemet. En angriper kan bruke en spesielt utformet nettside, en kompromittert nettside eller en nettside hvor angriper kontrollerer innhold til å utnytte sårbarheten. En angriper kan også inkludere en ActiveX-kontroller i en applikasjon eller Microsoft Office dokument. Oppdateringen adresserer sårbarheten ved å modifisere hvordan scripting-motoren håndterer objekter i minnet.

Microsoft SQL Server Remote Code Execution
Referanse CVE-2018-8273
EI(x,y) 2, 2

En buffer overflow-sårbarhet i Microsoft SQL Server kan tillate fjernkjøring av kode på påvirkede systemer. En angriper som klarer å utnytte sårbarheten kan eksekvere kode med rettigheter til SQL Server
Database Engine-tjenesten. For å utnytte sårbarheten må en angriper sende en spesielt utformet spørring til en påvirket SQL-server. Oppdateringen adresserer sårbarheten ved å modifisere hvordan Microsoft SQL Server Database Engine håndterer objekter i minnet.

Windows PDF Remote Code Execution
Referanse CVE-2018-8350
EI (x, y) 2, 2

En sårbarhet som åpner for fjernkjøring av kode oppstår når Microsoft Windows PDF Library feilhåndterer objekter i minnet. Sårbarheten kan føre til minnekorrupsjon på en slik måte at en angriper kan eksekvere vilkårlig kode med samme rettigheter som den aktive brukeren. Hvis brukeren har administratorrettigheter kan en angriper ta kontroll over systemet. For å utnytte sårbarheten på Windows 10-systemer med Microsoft Edge satt som standardnettleser kan en angriper hoste en spesielt utformet nettside som inneholder ondsinnet PDF-innhold og deretter overtale en bruker til å besøke nettsiden. Nettlesere for andre påvirkede operativsystemer laster ikke PDF-innhold automatisk, og en angriper vil derfor måtte overtale en bruker til å åpne et spesielt utformet PDF-dokument, typisk gjennom e-post eller direktemelding. Oppdateringen adresserer sårbarheten ved å modifisere hvordan påvirkede systemer håndterer objekter i minnet.

Microsoft Exchange Memory Corruption
Referanse CVE-2018-8302
EI (x, y) 2, 2

En sårbarhet som åpner for fjernkjøring av kode finnes i Microsoft Exchange-programvare når programvaren feilhåndterer objekter i minnet. En angriper som vellykket utnytter sårbarheten kan oppnå samme rettigheter som System-brukeren. Utnyttelse av sårbarheten krever at en spesielt utformet
e-post sendes til en sårbar Exchange-server. Oppdateringen adresserer sårbarheten ved å korrigere hvordan Microsoft Exchange håndterer objekter i minnet.

GDI+ Remote Code Execution Vulnerability
Referanse CVE-2018-8397
EI (x,y) N, 2

En sårbarhet som åpner for fjernkjøring av kode finnes i hvordan Windows Graphics Device Interface (GDI) håndterer objekter i minnet. En angriper som vellykket utnytter sårbarheten kan ta kontroll over systemet. Det er flere måter å utnytte sårbarheten på. I et nettbasert scenario, kan en angriper kan bruke en spesielt utformet nettside, en kompromittert nettside eller en nettside hvor angriper kontrollerer innhold
til å utnytte sårbarheten. En angriper har ingen måte å tvinge en bruker til å laste angriperkontrollert innhold men må overtale en bruker typisk gjennom e-post eller direktemelding. I et fildelingsscenario kan en angriper gi en spesielt utformet dokumentfil designet for å utnytte sårbarheten og deretter overtale brukere til å åpne dokumentfilen. Oppdateringen adresserer sårbarheten ved å korrigere hvordan Windows GDI håndterer objekter i minnet.

Se Microsoft [1] og Adobe [2] sine nettsider for flere detaljer.

NorCERT anbefaler alle å oppdatere programvaren på sine systemer til siste versjon.

Referanser:

  1. https://portal.msrc.microsoft.com/en-us/security-guidance
  2. https://helpx.adobe.com/security.html

*Om Exploitability Index

For hver sårbarhet gir Microsoft en vurdering av sannsynligheten for at den skal kunne utnyttes. Dette kaller de «exploitability index». En «exploitability index» på 1 betyr at Microsoft anser det som lett
å skrive stabil utnyttelseskode for sårbarheten. 0 betyr at utnyttelse er observert, mens N betyr at sårbarheten ikke finnes i den/de versjonen(e) av programvaren. Det gis én verdi for den nyeste versjonen av det aktuelle produktet, og én verdi for de andre støttede versjonene. Vi markerer sårbarhetene under med (EI: x,y) hvor x er siste versjon, og y er resterende.