Microsoft julkaisi tiistaina 11 korjauspäivitystä, jotka korjaavat 25 haavoittuvuutta. Korjauspäivityksistä 4 on luokiteltu kriittisiksi ja 7 tärkeiksi.

Kriittisiksi luokitellut haavoittuvuudet liittyvät muistinkäsittelyn virheisiin Internet Explorer -selaimessa ja Microsoft Officessa sekä Windowsin tapaan käsitellä HTTP-paketteja, EMF-tiedostoja ja Microsoft Office -tiedostoja. Kriittisiä haavoittuvuuksia hyödyntämällä on mahdollista suorittaa haitallista ohjelmakoodia tai laajentaa käyttöoikeuksia kohdejärjestelmässä houkuttelemalla käyttäjä avaamaan tiedosto tai jos hyökkääjä lähettää sopivasti muotoillun HTTP-paketin.

Tärkeät päivitykset korjaavat haavoittuvuuksia, jotka voivat mahdollistaa käyttövaltuuksien laajentamisen, luottamuksellisen tiedon hankkimisen, palvelunestohyökkäyksen tai suojauksen ohittamisen.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

• Paikallisesti
• Ilman kirjautumista
• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Käyttövaltuuksien laajentaminen
• Tietojen muokkaaminen
• Luottamuksellisen tiedon hankkiminen
• Palvelunestohyökkäys
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys
• Ongelman rajoittaminen

Haavoittuvat ohjelmistot:

• Microsoftin käyttöjärjestelmät
• Microsoftin palvelinohjelmistot
• Microsoftin työasemaohjelmistot

Katso tarkemmat tiedot haavoittuvista tuote- ja versiotiedoista Microsoftin tiedotteesta.

Ratkaisu- ja rajoitusmahdollisuudet:

• Korjaava ohjelmistopäivitys
• EMF-tiedostojen käsittelyyn liittyvän haavoittuvuuden osalta ongelmaa voi rajoittaa, mikäli päivittäminen ei ole mahdollista. Katso lisätietoja https://support.microsoft.com/kb/3046306

Lisätietoa:

•  
• https://technet.microsoft.com/library/security/ms15-apr
• https://support.microsoft.com/kb/3038314
• https://support.microsoft.com/en-us/kb/3042553
• https://support.microsoft.com/kb/3046269
• https://support.microsoft.com/kb/3046306
• https://support.microsoft.com/kb/3046482
• https://support.microsoft.com/kb/3047234
• https://support.microsoft.com/kb/3048010
• https://support.microsoft.com/kb/3048019
• https://support.microsoft.com/kb/3049576
• https://support.microsoft.com/kb/3052044
•  
•  
• CVE-2015-0098
• CVE-2015-1635
• CVE-2015-1639
• CVE-2015-1640
• CVE-2015-1641
• CVE-2015-1643 
• CVE-2015-1644 
• CVE-2015-1645 
• CVE-2015-1646 
• CVE-2015-1647
• CVE-2015-1648
• CVE-2015-1649
• CVE-2015-1650
•  
•  
• CVE-2015-1651
• CVE-2015-1652
• CVE-2015-1653
• CVE-2015-1657
• CVE-2015-1659
• CVE-2015-1660
• CVE-2015-1661
• CVE-2015-1662
• CVE-2015-1665
• CVE-2015-1666
• CVE-2015-1667
• CVE-2015-1668
•  

Windows-käyttöjärjestelmien NTLM-autentikointiin liittyvä kriittinen haavoittuvuus mahdollistaa HTTP-pyyntöjen ohjaamisen file:// -osoitteen avulla hyökkääjän hallinnassa olevalle palvelimelle. Tässä yhteydessä Windows automaattisesti yrittää autentikointia SMB -protokollan välityksellä, jolloin hyökkääjä voi saada tietoonsa käyttäjätunnuksen ja salasanan salatussa muodossa.

Useat ohjelmistot käyttävät HTTP-pyyntöjä ohjelmistopäivitysten tarkistamiseen. Vihamielinen hyökkääjä voi pyrkiä ohjaamaan pyynnöt HTTP-uudelleenohjauksen avulla file:// -osoitteeseen, jolloin Windows automaattisesti yrittää autentikointia SMB -protokollan välityksellä. Myös pikaviestinohjelman esikatselutoiminto tai käyttäjän avaama linkki voi johtaa autentikointiyritykseen. Tämän seurauksena hyökkääjä voi saada tietoonsa käyttäjätunnuksen ja salasanan salatussa muodossa ja yrittää salasanan murtamista brute force -menetelmällä.

Haavoittuvuuden tarkempi tekninen kuvaus ja erilaisia hyökkäystapoja on esitelty Cylance SPEAR -tiimin tutkijan Brian Wallacen blogikirjoituksessa ja artikkelissa.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

• Ilman kirjautumista
• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Luottamuksellisen tiedon hankkiminen

Ratkaisu

• Ongelman rajoittaminen
• Ei päivitystä

Haavoittuvat ohjelmistot:

• Windows-käyttöjärjestelmät
• Brian Wallacen mukaan mm. seuraavat tuotteet ovat haavoittuvia, mutta kaikilta valmistajilta ei ole saatu vielä vahvistusta:
  • Internet Explorer, Windows Media Player, Excel 2010
  • Adobe Reader, Apple QuickTime, Apple Software Update
  • Symantec Norton Security Scan, AVG Free, BitDefender Free, Comodo Antivirus
  • .NET Reflector, Maltego CE
  • Box Sync, TeamViewer
  • Github for Windows, PyCharm, Intellij IDEA, PHP Storm, JDK 8u31 Installer

Ratkaisu- ja rajoitusmahdollisuudet:

Ongelmaa on mahdollista rajoittaa seuraavilla tavoilla:

• Ulospäin suuntautuvien SMB-yhteyksien estäminen (TCP-portit 139 ja 445)
• NTLM:n käytön rajoittaminen ryhmäkäytäntöjen (Group Policy) avulla
• NTLM-autentikoinnin poistaminen käytöstä
• Hyvien salasanojen käyttäminen ja salasanojen vaihtaminen usein

Lisätietoa:

• http://www.kb.cert.org/vuls/id/672268
• http://blog.cylance.com/redirect-to-smb

Kyberturvallisuuskeskus on saanut useita ilmoituksia Danske Bankin nimissä tehtävästä tietojenkalastelusta.

Danske Bankin nimissä lähetetyissä viesteissä ilmoitetaan uudesta pankkiin saapuneesta viestistä ja pyydetään kirjautumaan sisään. Tietojenkalasteluviestin sisältämä linkki ohjaa käyttäjän kuitenkin väärennetylle sivulle, jossa pyritään varastamaan käyttäjän pankkitunnukset.

Jos syöttää vahingossa tietonsa tietojenkalastelusivulle, tulee viipymättä olla yhteydessä omaan pankkiinsa.

Alla esimerkki tietojenkalasteluviestistä:

Lähettäjä: "Danske Bank<ib@danskes012.fi>" <ib@danskes012.fi>
Päiväys: 9. huhtikuuta 2015 15.57.21 UTC+3
Vastaanottaja: 
Aihe: Ilmoitus DB-129

Hyvä asiakas.
Olet saanut ilmoituksen.
Kirjaudu verkkopankki

Alla esimerkki kampanjassa käytetystä tietojenkalastelusivusta:

Kuva 1. Esimerkki kampanjassa hyödynnetystä tietojenkalastelusivusta

Tietojenkalastelulta suojautuminen edellyttää varovaisuutta

Palveluntarjoajan viesteiltä vaikuttavissa yhteydenotoissa on varmistettava, että viestissä oleva linkki johtaa palveluntarjoajan omille sivuille. On suositeltavampaa kirjanmerkitä palveluntarjoajan sivu ja käyttää tätä sivustolle siirtymiseen viesteissä olevien linkkien sijaan, mikäli tämä on mahdollista. Myös odottamattomat viestit palveluntarjoajalta pitää tarkistaa huolellisesti ennen niissä kehotettuihin toimenpiteisiin ryhtymistä. Havaituista tietojenkalastelusivustoista voi ilmoittaa Viestintäviraston Kyberturvallisuuskeskukselle sähköpostitse osoitteeseen cert@ficora.fi.

Lisätietoja:

Katso ohjeistus huijauksilta suojautumisesta: Näin meitä huijataan 23.7.2014