Microsoft sikkerhetsoppdateringer for september 2018

Publisert: 24.09.2018

Microsoft har offentliggjort sine månedlige sikkerhetsoppdateringer [1]. Det er totalt 64 bulletiner, hvor 17 er vurdert som kritiske.

Vi ønsker å informere om at nulldagssårbarheten i Task Scheduler, Windows ALPC Elevation of Privilege Vulnerability, som vi varslet om i "Nulldagssårbarhet i Microsoft Windows" har blitt rettet opp.

Denne månedens oppdatering adresserer flere sårbarheter som kan utnyttes av en angriper til å ta kontroll over brukere og systemer. De fleste sårbarhetene krever at brukere utfører aktive handlinger som å besøke nettsider, åpne dokumenter eller kjøre filer.

Sårbarheter belyst i dette sårbarhetsvarselet:

Windows Remote Code Execution Vulnerability - CVE-2018-8475
Exploitability Index (EI)* (x,y) 1,1

Windows inneholder en sårbarhet som kan føre til fjernekservering ved at Windows ikke riktig håndterer spesielt omformede bildefiler. En angriper som vellykket utnytter sårbarheten kan kjøre vilkårlig kode. For å utnytte sårbarheten må en angriper ha overtalt en bruker til å laste ned en bildefil.

Scripting Engine Memory Corruption - CVE-2018-8457
EI (x,y): 1,1

Microsofts nettlesere inneholder en sårbarhet som har rot i hvordan den interne skriptmotoren behandler objekter i minnet. En angriper kan utnytte sårbarheten ved å modifisere minnet slik at han/hun får samme tilgang som den påloggede brukeren. Dersom denne brukeren har administrative rettigheter kan dermed angriperen få full tilgang til systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside gjennom en av Microsofts nettlesere.
Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren, eller ved å sette inn en ActiveX-kontroll flagget som "safe for initialization" i et program eller i et Office-dokument.

MS XML Remote Code Execution Vulnerability - CVE-2018-8420
EI(x,y): 1,1

I Microsoft XML Core Services er det en MSXML-parser som inneholder en sårbarhet som har rot i hvordan XML leser inndata fra brukeren. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside gjennom Internet Explorer, som vil da kjøre angriperens kode. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.

Internet Explorer Memory Corruption - CVE-2018-8461 og CVE-2018-8447
EI(x,y): 1,1

Internet Explorer inneholder en sårbarhet som har rot i hvordan Internet Explorer henter objekter i minnet. En angriper kan utnytte sårbarheten ved å modifisere minnet slik at han/hun får samme tilgang som den påloggede brukeren. Dersom denne brukeren har administrative rettigheter kan dermed angriperen få full tilgang til systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside gjennom Internet Explorer. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.

Microsoft Edge PDF Remote Code Execution - CVE-2018-8464
EI(x,y): 1, N

Microsoft Edge PDF Reader håndterer objekter i minnet på feil måte som kan føre til fjernekservering. Sårbarheten utnyttes ved å endre minnet på en slik måte at den legger til rette for at en angriper kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside som inneholder en PDF-fil med skadelig kode. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.

Chakra Scripting Engine Memory Corruption
EI(x,y): 1, N
CVE-referanser CVE-2018-8367
CVE-2018-8465
CVE-2018-8467

Skriptmotoren ChakraCore inneholder en sårbarhet som har rot i hvordan skriptmotoren behandler objekter i minnet i Microsoft Edge. Sårbarheten, som kan føre til fjernekservering, utnyttes ved å endre minnet på en slik måte at den legger til rette for at en angriper kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside med Microsoft Edge. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.

Scripting Engine Memory Corruption
EI(x,y): 1, N
CVE-referanser CVE-2018-8391
CVE-2018-8456
CVE-2018-8459

Skriptmotoren ChakraCore inneholder en sårbarhet som har rot i hvordan skriptmotoren behandler objekter i minnet. En angriper kan utnytte sårbarheten ved å modifisere minnet slik at han/hun får samme tilgang som den påloggede brukeren. Dersom denne brukeren har administrative rettigheter kan dermed angriperen få full tilgang til systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside gjennom en av Microsofts nettlesere.
Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.

September 2018 Adobe Flash Security Update -ADV180023
EI(x,y): 1, N

Denne sårbarheten er beskrevet nærmere i Adobes sikkerhetsvarsel APSB18-31 med CVE-referansen CVE-2018-15967.

Windows Hyper-V Remote Code Execution
EI(x,y): 2, 2
CVE-referanser CVE-2018-0965
CVE-2018-8439

Microsoft Hyper-V inneholder en sårbarhet som kan føre til fjernekservering på en server feiler med å validere inndata fra en uautentisert bruker på et gjesteoperativsystem. For å utnytte sårbarheten kan en angriper kjøre en spesielt utformet applikasjon på gjesteoperativsystemet som kan føre til at Hyper-V-serveren kjører vilkårlig kode. En angriper som vellykket utnytter sårbarheten kan kjøre vilkårlig kode på Hyper-V-operativsystemet. Sikkerhetsoppdateringen adresserer sårbarheten ved å rette opp i hvordan
Hyper-V validerer gjesteoperativsystemets inndata fra brukeren.

Win32k Graphics Remote Code Execution - CVE-2018-8332
EI(x,y): 2, 2

Windows skriftbiblioteket inneholder en fjerneksekveringssårbarhet som har rot i hvordan det håndterer spesielt utformede integrerte skrifttyper. En angriper som vellykket utnytter sårbarheten kan oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. En angriper kan så installere programmer, se på, endre eller slette data, eller opprette nye brukere med fulle brukerrettigheter. Det er flere måter en angriper kan utnytte sårbarheten på. I et nettbasert angrepsscenario kan en angriper servere en spesielt utformet nettside som er designet til å utnytte sårbarheten og så overtale brukeren til å se på nettsiden. En angriper må lure en bruker til å gjøre en handling, typisk via lenker i e-post, via direktemelding eller via vedlegg sendt i epost. I et fildelingsscenario kan en angriper sende en spesielt utformet fil som utnytter denne sårbarheten.

.NET Framework Remote Code Execution - CVE-2018-8421
EI(x,y): 2, 2

Microsoft .NET-rammeverket inneholder en fjerneksekveringssårbarhet som oppstår når rammeverket prosesserer ikke-troverdig inndata fra brukere. En angriper som vellykket utnytter sårbarheten i programvare som bruker .NET-rammeverket kan ta kontroll over det påvirkede systemet. En angriper kan så installere programmer, se på, endre og slette data, eller opprette nye brukere med fulle brukerrettigheter.
Brukere som har kontoer med lavere brukerrettigheter på systemet vil føre til en lavere innvirkning enn en bruker med administrative rettigheter. For å utnytte sårbarheten må en angriper først overtale brukeren til å åpne et ondsinnet dokument eller applikasjon.

Se Microsoft [1] og Adobe [2] sine nettsider for flere detaljer.

Vi i NorCERT anbefaler alle å oppdatere programvaren på sine systemer til siste versjon.

Referanser:

  1. https://portal.msrc.microsoft.com/en-us/security-guidance
  2. https://helpx.adobe.com/security.html

*Om Exploitability Index

For hver sårbarhet gir Microsoft en vurdering av sannsynligheten for at den skal kunne utnyttes. Dette kaller de «exploitability index». En «exploitability index» på 1 betyr at Microsoft anser det som lett
å skrive stabil utnyttelseskode for sårbarheten. 0 betyr at utnyttelse er observert, mens N betyr at sårbarheten ikke finnes i den/de versjonen(e) av programvaren. Det gis én verdi for den nyeste versjonen av det aktuelle produktet, og én verdi for de andre støttede versjonene. Vi markerer sårbarhetene under med (EI: x,y) hvor x er siste versjon, og y er resterende.