Kritiske Microsoft-sårbarheder

14. januar 2020 | Blog, Sticky

14. januar 2020: I dag udgav Microsoft deres månedlige programrettelser, og blandt dem var der tre kritiske problemer med alvorlighedsgrad 1, der kræver din øjeblikkelige opmærksomhed. Virksomheder bør aktivere processen for håndtering af sårbarhedsadvarsler for at sortere disse advarsler og straks planlægge programrettelser så hurtigt som muligt. Betragt venligst denne særlige blogadvarsel fra CyberHoot som en meget usædvanlig omstændighed, og tag passende handling så hurtigt som muligt. For at sætte dette i perspektiv – ALLE mine cybersikkerhedskilder antyder det samme. Statslige cybersikkerhedsovervågningsenheder som CISA udstedte kun sin anden Nøddirektiv nogensinde for disse sårbarheder. Det er alvorligt.

Berørte systemer:

CryptoAPI-spoofing-sårbarhed – CVE-2020-0601: Denne sårbarhed påvirker alle maskiner, der kører 32- eller 64-bit Windows 10-operativsystemer, inklusive Windows Server-versionerne 2016 og 2019.

Sårbarheder i Windows RD Gateway og Windows Remote Desktop Client – CVE-2020-0609, CVE-2020-0610 og CVE-2020-0611: Disse sårbarheder påvirker Windows Server 2012 og nyere. Derudover påvirker CVE-2020-0611 Windows 7 og nyere.

Sårbarhedspåvirkning:

Dette afsnit af meddelelsen beskriver den potentielle indvirkning, hvis disse sårbarheder blev udnyttet.

CryptoAPI-spoofing-sårbarhed – CVE-2020-0601:

Denne sårbarhed gør det muligt for uønsket eller skadelig software at udgive sig for at være legitim software, der er autentisk signeret af en betroet eller troværdig organisation. Dette kan narre brugere til at installere skadelig software, der ser legitim ud. Det kan også forhindre beskyttende software, såsom antivirus, i at registrere sådanne installationer som værende skadelige. Derudover ville browsere, der er afhængige af Windows CryptoAPI, være blinde for angreb, hvilket ville give en angriber mulighed for at dekryptere, ændre eller indsætte data på brugerforbindelser uden at blive opdaget.

Sårbarheder i Windows RD Gateway og Windows Remote Desktop Client – CVE-2020-0609, CVE-2020-0610 og CVE-2020-0611:

Disse sårbarheder muliggør fjernudførelse af kode, hvor vilkårlig kode kan køres frit på både RD Web Gateway og enhver klient, der opretter forbindelse til en ondsindet gateway. Serversårbarhederne kræver ikke godkendelse [hvilket er virkelig dårligt] eller brugerinteraktion og kan udnyttes af en specialudformet anmodning. Klientsårbarheden kan udnyttes ved at overbevise en bruger om at oprette forbindelse til en ondsindet server. Når den kombineres, kan enhver RD Web-gateway overtages og blive en ondsindet server, som derefter overtager alle de tilsluttede klientmaskiner. [Sagde jeg, at dette var virkelig dårligt?]

Er der nogen gode nyheder?

Faktisk ja.puha!Disse sårbarheder blev opdaget og rapporteret direkte til Microsoft af NSA for første gang. Det betyder, at vi har et meget kort vindue til at installere disse programrettelser uden stor risiko for kompromittering.

Et meget kort tidsrum på internettet kan dog betyde dage eller uger.

Hvorfor spørger du så?

Ved at analysere de programrettelser, som Microsoft udgav i dag, kan hackere hurtigt identificere, hvilken kode der er blevet ændret. Programrettelserne fungerer som et skattekort, som hackere kan følge via ændringer i kildekoden og reverse engineere dem, indtil de finder sårbarheden. Derefter bruger de det som våben. it dem. Der er et kapløb i gang i øjeblikket for at identificere og bevæbne disse sårbarheder af nationalstater og hackergrupper. Vi har dage, måske uger, før disse sårbarheder bliver bevæbnet og begynder at udnytte jeres systemer.

Hvad skal jeg gøre for min virksomhed?

Hvis du har en proces til håndtering af sårbarhedsadvarsler, skal du følge dens retningslinjer for et sæt sårbarheder med alvorlighedsgrad 1.
Indtil du har opdateret alle dine systemer, skal du overvåge cybersikkerhedsnyhedsblogs for tegn på, at exploit-kode er kommet i omløb.
Hvis du ikke har en VAMP, så saml dit/dine tekniske team(er) og lav en plan for at opdatere alle dine kritiske systemer inden for 10 dage (hurtigere hvis muligt).
For dem af jer uden en defineret proces til patchhåndtering, bør I, når I har gennemført denne brandøvelse, Tilmeld dig CyberHoot, download vores VAMP og tilpas den til din organisation.

Hvad skal jeg gøre for mig selv personligt?

Dit Windows-versionsnummer kan variere, men dette er den opdatering, du ønsker – gå til Indstillinger > Opdatering og sikkerhed > Windows Update: