Kritiske Microsoft-sårbarheter

14. januar 2020 | Blogg, Sticky

14. januar 2020: I dag lanserte Microsoft sine månedlige oppdateringer, og blant dem var det tre kritiske problemer med alvorlighetsgrad 1 som krever din umiddelbare oppmerksomhet. Bedrifter bør aktivere prosessen for håndtering av sårbarhetsvarsel for å sortere disse varslene, og umiddelbart planlegge oppdateringer så snart som mulig. Vennligst betrakt denne spesielle bloggrådgivningen fra CyberHoot som en svært uvanlig omstendighet og iverksett passende tiltak så snart som mulig. For å sette dette i perspektiv – ALLE mine kilder for cybersikkerhet antyder det samme. Statlige cybersikkerhetsvakthunder som CISA utstedte bare sin andre Nøddirektiv noensinne for disse sårbarhetene. Dette er seriøst.

Berørte systemer:

Sårbarhet for forfalskning av CryptoAPI – CVE-2020-0601: Denne sårbarheten påvirker alle maskiner som kjører 32- eller 64-biters Windows 10-operativsystemer, inkludert Windows Server-versjoner 2016 og 2019.

Sårbarheter i Windows RD Gateway og Windows Remote Desktop Client – CVE-2020-0609, CVE-2020-0610 og CVE-2020-0611: Disse sårbarhetene påvirker Windows Server 2012 og nyere. I tillegg påvirker CVE-2020-0611 Windows 7 og nyere.

Sårbarhetspåvirkning:

Denne delen av veiledningen beskriver den potensielle konsekvensen dersom disse sårbarhetene ble utnyttet.

Sårbarhet for forfalskning av CryptoAPI – CVE-2020-0601:

Denne sårbarheten gjør at uønsket eller skadelig programvare kan utgi seg for å være legitim programvare som er autentisk signert av en klarert eller troverdig organisasjon. Dette kan lure brukere til å installere skadelig programvare som ser legitim ut. Det kan også hindre beskyttende programvare som antivirus i å oppdage slike installasjoner som skadelige. I tillegg vil nettlesere som er avhengige av Windows CryptoAPI være blinde for angrep, slik at en angriper kan dekryptere, endre eller injisere data på brukertilkoblinger uten å bli oppdaget.

Sårbarheter i Windows RD Gateway og Windows Remote Desktop Client – CVE-2020-0609, CVE-2020-0610 og CVE-2020-0611:

Disse sårbarhetene tillater ekstern kodekjøring, der vilkårlig kode kan kjøres fritt på både RD Web Gateway og enhver klient som kobler seg til en ondsinnet gateway. Serversårbarhetene krever ikke autentisering [som er skikkelig ille] eller brukerinteraksjon og kan utnyttes av en spesiallaget forespørsel. Klientsårbarheten kan utnyttes ved å overbevise en bruker om å koble til en ondsinnet server. Når den kombineres, kan enhver RD Web-gateway overtas og bli en ondsinnet server som deretter overtar alle tilkoblede klientmaskiner. [Sa jeg at dette var skikkelig ille?]

Er det noen gode nyheter?

Faktisk ja. [puh!Disse sårbarhetene ble oppdaget og rapportert, for første gang, av NSA, direkte til Microsoft. Dette betyr at vi har et veldig lite vindu for å installere disse oppdateringene uten stor risiko for kompromittering.

Imidlertid kan et veldig lite tidsvindu på internett bety dager eller uker.

Hvorfor spør du det?

Ved å analysere oppdateringene som Microsoft lanserte i dag, kan skadelige aktører raskt identifisere hvilken kode som ble endret. Oppdateringene er som et skattekart som hackere kan følge, via endringer i kildekoden, reverskonstruere dem, helt til de finner sårbarheten. Deretter bruker de våpen. it dem. Det pågår et kappløp akkurat nå for å identifisere og gjøre disse sårbarhetene til våpen av nasjonalstater og hackergrupper. Vi har dager, kanskje uker, før disse sårbarhetene blir våpengjort og begynner å utnytte systemene deres.

Hva bør jeg gjøre for bedriften min?

Hvis du har en prosess for håndtering av sårbarhetsvarsler, følg retningslinjene for et sett med sårbarheter med alvorlighetsgrad 1.
Inntil du har oppdatert alle systemene dine, bør du overvåke nyhetsbloggene om cybersikkerhet for tegn på at angrepskode har kommet ut i naturen.
Hvis du ikke har en VAMP, samle det/de tekniske teamet/teamene dine og lag en plan for å oppdatere alle kritiske systemer innen 10 dager (tidligere hvis mulig).
For de av dere uten en definert prosess for patchhåndtering, bør dere når dere har fullført denne brannøvelsen registrer deg på CyberHoot, last ned vår VAMP og tilpass den til din organisasjon.

Hva bør jeg gjøre for meg selv personlig?

Windows-versjonsnummeret ditt kan variere, men dette er oppdateringen du ønsker – gå til innstillinger > Oppdatering og sikkerhet > Windows Update: