Adoben korjauspäivitys APSB15-11 korjaa 13 Flash Playerin haavoittuvuutta, joista moni on luokiteltu kriittiseksi.

Suurin osa korjatuista haavoittuvuuksista liittyy virheisiin muistinkäsittelyssä. Näitä haavoittuvuuksia hyödyntämällä on mahdollista suorittaa haitallista ohjelmakoodia kohdejärjestelmässä käyttäjän oikeuksin.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

• Etäkäyttö

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Käyttövaltuuksien laajentaminen
• Palvelunestohyökkäys
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

• Adobe Flash Player 17.0.0.188 ja tätä aikaisemmat versiot
• Adobe Flash Player 13.0.0.289 ja tätä aikaisemmat versiot
• Adobe Flash Player 11.2.202.460 ja tätä aikaisemmat versiot
• Adobe AIR Desktop Runtime 17.0.0.172 ja tätä aikaisemmat versiot
• Adobe AIR SDK 17.0.0.172 ja tätä aikaisemmat versiot

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä ohjelmisto tuoreimpaan versioon valmistajan ohjeiden mukaisesti. Tavallisesti päivitys tapahtuu automaattisen päivitystoiminnon kautta.

Flashin ja muiden selainliitännäisten haavoittuvuuksilta voi myös osittain suojautua käyttämällä selaimen Click to Play -toiminnallisuutta, jolloin liitännäiset eivät käynnisty automaattisesti. Englanninkieliset ohjeet useimmille selaimille: http://www.tomsguide.com/us/flash-click-to-run-how-to,news-20422.html

Lisätietoa:

• https://helpx.adobe.com/security/products/flash-player/apsb15-11.html
•  
• CVE-2015-3096
• CVE-2015-3097
• CVE-2015-3098
• CVE-2015-3099
• CVE-2015-3100
• CVE-2015-3101
• CVE-2015-3102
• CVE-2015-3103
• CVE-2015-3104
• CVE-2015-3105
• CVE-2015-3106
• CVE-2015-3107
• CVE-2015-3108
• http://www.tomsguide.com/us/flash-click-to-run-how-to,news-20422.html
•  

Microsoftin kesäkuun päivityspaketissa on julkaistu kahdeksan korjauspäivitystä, jotka korjaavat 45 haavoittuvuutta. Korjauspäivityksistä kaksi on luokiteltu kriittisiksi ja kuusi tärkeiksi.

Kriittisiksi luokiteltu Internet Explorerin haavoittuvuus mahdollistaa hyökkääjän koodin suorittamisen käyttäjän koneella, jos käyttäjä avaa tietyllä tavalla muotoillun www-sivun. Windows Media Playerin kriittinen haavoittuvuus voi mahdollistaa myös koko järjestelmän haltuun ottamisen, jos käyttäjä avaa tietyllä tavalla muotoiltua mediasisältöä.

Tärkeäksi luokitellut haavoittuvuudet koskevat mm. Microsoft Officea, Microsoft Exchange -palvelinta ja Active Directory Federation Services -komponenttia ja mahdollistavat käyttövaltuuksien laajentamisen ja luottamuksellisen tiedon hankkimisen.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

• Paikallisesti
• Ilman kirjautumista
• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Käyttövaltuuksien laajentaminen
• Luottamuksellisen tiedon hankkiminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

• Microsoftin käyttöjärjestelmät
• Microsoftin palvelinohjelmistot
• Microsoftin työasemaohjelmistot

Katso tarkemmat tiedot haavoittuvista tuote- ja versiotiedoista Microsoftin tiedotteesta.

Ratkaisu- ja rajoitusmahdollisuudet:

• Korjaava ohjelmistopäivitys
• Osa ohjelmistopäivityksistä vaatii uudelleenkäynnistyksen, jotta korjaus tulee voimaan.

Lisätietoa:

•  
• https://technet.microsoft.com/library/security/ms15-jun
• CVE-2015-1687
• CVE-2015-1719
• CVE-2015-1720
• CVE-2015-1721
• CVE-2015-1722
• CVE-2015-1723
• CVE-2015-1724
• CVE-2015-1725
• CVE-2015-1726
• CVE-2015-1727
• CVE-2015-1728
• CVE-2015-1730
• CVE-2015-1731
• CVE-2015-1732
• CVE-2015-1735
• CVE-2015-1736
• CVE-2015-1737
• CVE-2015-1739
• CVE-2015-1740
• CVE-2015-1741
• CVE-2015-1742
• CVE-2015-1743
• CVE-2015-1744
• CVE-2015-1745
• CVE-2015-1747
• CVE-2015-1748
• CVE-2015-1750
• CVE-2015-1751
• CVE-2015-1752
• CVE-2015-1753
• CVE-2015-1754
• CVE-2015-1755
• CVE-2015-1756
• CVE-2015-1757
• CVE-2015-1758
• CVE-2015-1759
• CVE-2015-1760
• CVE-2015-1764
• CVE-2015-1765
• CVE-2015-1766
• CVE-2015-1768
• CVE-2015-1770
• CVE-2015-1771
• CVE-2015-2359
• CVE-2015-2360

Office-dokumenttien makroja hyödyntävät virukset olivat yleisiä 1990-luvun lopussa ja 2000-luvun alussa. Makrot ovat komentojonoja, joiden avulla voidaan automatisoida tehtäviä esimerkiksi Wordissa ja Excelissä. Viime aikoina makroja hyödyntävät haittaohjelmat ovat taas yleistyneet. Kohteena ovat varsinkin yritykset, joihin tietoja varastavia ja kiristyshaittaohjelmia pyritään levittämään sähköpostin välityksellä.

Jälleen kasvava ilmiö

TrendLabs Security Intelligence Blogissa kerrotaan, että makrojen käyttö haittaohjelmien levittämiseen lisääntyi 2014 ja on kasvanut huimasti alkuvuonna 2015. Erityisenä kohteena ovat yritykset, joita lähestytytään kohdennetuilla sähköpostikampanjoilla. Tyypillisesti makrohaittaohjelmat tulevat Word- tai Excel-tiedoston mukana, joka on liitetty esimerkiksi laskuksi, kuitiksi tai tilausvahvistukseksi naamioituun viestiin. Yleisiä makrojen asentamia haittaohjelmia ovat pankkitunnuksia varastavat troijalaiset.

Kasvavana ilmiönä on myös kiristyshaittaohjelmien levittäminen Word-makrojen avulla. Esimerkiksi Symantecin tietoturvablogin mukaan Ranskassa on havaittu viestejä, jotka on näyttävät tulevan Ranskan oikeusministeriöltä. Jos liitteenä olevan dokumentin makron suoritus sallitaan, makro asentaa aktivoiduttuaan useita haittaohjelmia, mm. tiedostoja salaavan kiristyshaittaohjelman.

Käyttäjän tietoturvatietoisuus on tärkeässä roolissa

Koska makrohaittaohjelmia levitettiin viimeksi laajalti reilu kymmenen vuotta sitten, monet käyttäjät eivät nykyään ole asian suhteen valveutuneita ja ymmärrä makroihin liittyviä riskejä. Varsinkin yhdistettynä vakuuttavan kuuloiseen viestiin moni erehtyy sallimaan dokumentin makrot. Sähköposti on helppo väärentää siten, että se näyttää tulevan luotettavalta lähettäjältä. Tällaiseen huijaamiseen tarvittavia tietoja on usein helppo saada selville organisaation internetsivuilta, sähköpostitse tai puhelimitse suostuttelemalla käyttäjä kertomaan hyödynnettävissä olevia tietoja.

Estä makrojen tarpeeton suorittaminen

ATK-ylläpitäjät voivat suojata organisaatiota makrohaittaohjelmilta muun muassa seuraavien ohjeiden avulla:

• Estä asiakirjojen makrojen oletusarvoinen suorittaminen.
• Jos tarvitset makroja esimerkiksi asiakirjapohjissa organisaatiosi sisällä, salli vain tietyissä tiedostoissa tai tietyn hakemiston tiedostoissa olevat makrot ja estä muut.
• Ota käyttöön käytäntö, että asiakirjoja ei jaeta sähköpostilla, vaan ne tallennetaan sovittuun paikkaan verkkolevylle.
• Muista säännöllinen varmuuskopiointi siltä varalta, että saat haittaohjelmatartunnan.

Myös jokaisen tietokoneenkäyttäjän tulee olla valppaana:

• Älä avaa sähköpostilla saamiasi tiedostoja harkitsematta. Mieti, miten voit varmistua viestin aitoudesta ennen viestin avaamista. Sähköposti on helppo väärentää näyttämään organisaation sisäiseltä postilta.
• Älä tee itsestäsi isoa ja näkyvää maalia. Mieti, ennen kuin annat yhteystietojasi, kuten sähköpostiosoitettasi, verkkosivuille. Luotatko, että sivuston haltija säilyttää ja käyttää tietojasi oikein?

Lisätietoja:

•  
• http://blog.trendmicro.com/trendlabs-security-intelligence/macro-malware-when-old-tricks-still-work-part-1
• http://blog.trendmicro.com/trendlabs-security-intelligence/macro-malware-when-old-tricks-still-work-part-2/
• http://www.pcworld.com/article/2866512/macrobased-malware-is-making-a-comeback-researchers-warn.html
• http://www.symantec.com/connect/blogs/ransomware-return-macro