 |
Muut verkkotunnukset myös meidän kautta
Tietoturvatiedotteet
11 12 2015
Päivityksiä Adobe Flash Player- ja AIR-ohjelmistoihin
tietoturva, adobe, haavoittuvuudetAdobe on julkaissut kriittisiä haavoittuvuuksia paikkaavan päivityspaketin Flash Player -ohjelmistolle. Haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi olla mahdollista saada haavoittuva järjestelmä hallintaansa.
Myös Adobe AIR -ohjelmistolle on julkaistu päivityksiä.
- Palvelimet ja palvelinsovellukset
- Työasemat ja loppukäyttäjäsovellukset
- Verkon aktiivilaitteet
- Matkaviestinjärjestelmät
- Sulautetut järjestelmät
- Muut
Kohde
- Työasemat ja loppukäyttäjäsovellukset
- Matkaviestinjärjestelmät
Hyökkäystapa
- Ilman kirjautumista
- Etäkäyttö
- Ilman käyttäjän toimia
Hyväksikäyttö
- Komentojen mielivaltainen suorittaminen
- Suojauksen ohittaminen
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvat ohjelmistot:
- Adobe Flash Player Desktop Runtime ennen versiota 20.0.0.228 (Internet Explorer, Windows ja Mac OS X)
- Adobe Flash Player Desktop Runtime ennen versiota 20.0.0.235 (Firefox ja Safari, Windows ja Mac OS X)
- Adobe Flash Player Extended Support Release ennen versiota 18.0.0.268 (Windows ja Mac OS X)
- Adobe Flash Player for Google Chrome ennen versiota 20.0.0.228 (Windows, Mac OS X, Linux ja ChromeOS)
- Adobe Flash Player for Microsoft Edge ja Internet Explorer 11 ennen versiota 20.0.0.228 (Windows 10)
- Adobe Flash Player for Internet Explorer 10 ja 11 ennen versiota 20.0.0.228 (Windows 8.0 ja 8.1)
- Adobe Flash Player for Linux ennen versiota 11.2.202.554 (Linux)
- AIR Desktop Runtime ennen versiota 20.0.0.204 (Windows ja Mac OS X)
- AIR SDK ennen versiota 20.0.0.204 (Windows, Mac OS X, Android ja iOS)
- AIR SDK & Compiler ennen versiota 20.0.0.204 (Windows, Mac OS X, Android ja iOS)
- AIR for Android ennen versiota 20.0.0.204 (Android)
Ratkaisu- ja rajoitusmahdollisuudet:
- Korjaava ohjelmistopäivitys. Käytössä olevan Flash-version voi tarkistaa Adoben sivuilta http://www.adobe.com/software/flash/about/
- Selaimissa Flash-liitännäinen päivittyy automaattisesti kaikissa käyttöjärjestelmissä
- Adobe Flash Player Desktop Runtimen päivitys Adobe Flash Player Download Center -sivuston kautta tai käyttäen automaattista päivitystyökalua, kun ohjelmisto ehdottaa päivitystä.
- Adobe Flash Player Extended Support Release -version päivitys sivuston http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html kautta
- Adobe Flash Player for Linux päivitys Adobe Flash Player Download Center -sivuston kautta
- AIR desktop runtime, AIR SDK and ja SDK & Compiler päivitys AIR download center -sivuston tai AIR developer center -sivuston kautta
- On suositeltavaa käyttää selaimen Click-to-Play -ominaisuutta, jolloin liitännäiset eivät käynnisty automaattisesti. Tämä on nykyään oletusarvoista Chromessa. Englanninkieliset kuvalliset ohjeet: http://www.tomsguide.com/us/flash-click-to-run-how-to,news-20422.html
Lisätietoa:
- https://helpx.adobe.com/security/products/flash-player/apsb15-32.html
- CVE-2015-8045
- CVE-2015-8047
- CVE-2015-8048
- CVE-2015-8049
- CVE-2015-8050
- CVE-2015-8055
- CVE-2015-8056
- CVE-2015-8057
- CVE-2015-8058
- CVE-2015-8059
- CVE-2015-8060
- CVE-2015-8061
- CVE-2015-8062
- CVE-2015-8063
- CVE-2015-8064
- CVE-2015-8065
- CVE-2015-8066
- CVE-2015-8067
- CVE-2015-8068
- CVE-2015-8069
- CVE-2015-8070
- CVE-2015-8071
- CVE-2015-8401
- CVE-2015-8402
- CVE-2015-8403
- CVE-2015-8404
- CVE-2015-8405
- CVE-2015-8406
- CVE-2015-8407
- CVE-2015-8408
- CVE-2015-8409
- CVE-2015-8410
- CVE-2015-8411
- CVE-2015-8412
- CVE-2015-8413
- CVE-2015-8414
- CVE-2015-8415
- CVE-2015-8416
- CVE-2015-8417
- CVE-2015-8418
- CVE-2015-8419
- CVE-2015-8420
- CVE-2015-8421
- CVE-2015-8422
- CVE-2015-8423
- CVE-2015-8424
- CVE-2015-8425
- CVE-2015-8426
- CVE-2015-8427
- CVE-2015-8428
- CVE-2015-8429
- CVE-2015-8430
- CVE-2015-8431
- CVE-2015-8432
- CVE-2015-8433
- CVE-2015-8434
- CVE-2015-8435
- CVE-2015-8436
- CVE-2015-8437
- CVE-2015-8438
- CVE-2015-8439
- CVE-2015-8440
- CVE-2015-8441
- CVE-2015-8442
- CVE-2015-8443
- CVE-2015-8444
- CVE-2015-8445
- CVE-2015-8446
- CVE-2015-8447
- CVE-2015-8448
- CVE-2015-8449
- CVE-2015-8450
- CVE-2015-8451
- CVE-2015-8452
- CVE-2015-8453
- CVE-2015-8454
- CVE-2015-8455
Päivityshistoria
- 09.12.2015 klo 08:41Julkaistu
07 12 2015
Kiristyshaittaohjelma TeslaCrypt leviää sähköpostitse
tietoturva, haittaohjelma, kyberturvallisuusKiintolevyt ja verkkolevyt salaava edistynyt kiristyshaittaohjelma TeslaCrypt leviää haitallisten sähköpostiliitteiden välityksellä. Viime aikoina TeslaCryptiä on tavattu paljon myös Suomessa.
Tiedot salaava kiristyshaittaohjelma uhkaa myös Suomessa
Viime päivinä Euroopan alueella, myös Suomessa, on havaittu kehittyneen TeslaCrypt-kiristyshaittaohjelman levittämistä haitallisten sähköpostiliitteiden välityksellä. Mikäli käyttäjä avaa liitteenä zip-tiedoston sisällä olevan .js-tiedoston, käyttäjän koneelle latautuu TeslaCrypt-haittaohjelma murrettujen verkkosivujen kautta.
TeslaCrypt käyttää vahvaa salausmenetelmää, eikä salausta ole mahdollista purkaa ilman salaukseen käytettyä avainta. Rikolliset vaativat lunnaita avaimen sisältävän palautustyökalun luovuttamiseksi.
Tarkista, suodata ja varmuuskopioi
Kyberturvallisuuskeskus suosittelee seuraavia toimenpiteitä kiristyshaittaohjelmilta suojautumiseksi:
- Tarkista huolellisesti saamasi sähköpostiviestit, ennen kuin avaat niiden liitteitä. TeslaCrypt-kiristyshaittaohjelmia levittäneissä viesteissä on havaittuja tunnusmerkkejä on lueteltu tämän artikkelin loppupuolella.
- Mikäli mahdollista, tarkasta sähköpostijärjestelmästänne onko näihin tunnistetietoihin viittaavia viestejä lähetetty organisaationne sähköpostiosoitteisiin.
- Mikäli mahdollista, suodata tai ohjaa karanteeniin sähköpostijärjestelmästänne tunnistetietoja vastaavat sähköpostit.
- Sähköpostisuodattimissa ja sähköpostien haittaohjelmaskannereissa on havaittu hankaluuksia tunnistaa tiedostot haitallisiksi .js-tiedoston obfuskoinnista johtuen.
- Varotoimenpiteenä voi ohjata karanteeniin sähköpostiviestit, joissa liitteenä on .js-tiedoston sisältävä .zip-tiedosto.
- Varmuuskopioi tiedostosi säännöllisesti ja säilytä ne erillään tietokoneesta. Tarkista varmuuskopion palautuksen toimivuus.
Älä maksa lunnaita, ota yhteyttä Kyberturvallisuuskeskukseen
Pyydämme olemaan yhteydessä Kyberturvallisuuskeskukseen mahdollisissa tartuntatapauksissa sekä havainnoista.
Mikäli TeslaCrypt on onnistunut salaamaan tiedostot, on suositeltavaa palauttaa tiedostot mahdollisuuksien mukaan varmuuskopioista. TeslaCryptin versiosta riippuen tästä salaukseen käytetystä avaimesta saattaa jäädä kopio myös Windows-käyttöjärjestelmän sisälle. Tällöin tiedostojen palauttaminen saattaa olla mahdollista ilman lunnaiden maksua. Tämä vaatii avaimen löytämistä sekä erityistyökalun käyttöä.
Lunnaiden maksu ei ole suositeltavaa, sillä tämä lisää rikollisten mielenkiintoa levittää tällaisia kirityshaittaohjelmia. Ei ole myöskään mitään takuita siitä, että tiedostot saisi takaisin lunnaiden maksamisen jälkeen. Kyberturvallisuuskeskuksen tiedossa on useita tällaisia tapauksia.
Näin tunnistat TeslaCrypt-haittaviestit
Toistaiseksi havaituissa TeslaCryptiä levittäneissä sähköposteissa on havaittu seuraavanlaisia tunnistetietoja:
Liitetiedostot:
- Liitetiedosto nimeltä "love.zip" jonka sisällä on tiedosto nimeltä "info.js"
- Liitetiedosto "img.zip" jonka sisällä on tiedosto nimeltä "img.js"
- Liitetiedosto nimeltä "live.zip" tai "statement.zip"
- Liitetiedosto nimeltä "part1.zip"
- Liitetiedoston nimi on muotoa "*etunimi*_resume_*neljä numeroa*.zip" (esim. "maribeth_resume_7996.zip")
- Liitetiedoston nimi on muotoa "task*10 numeroa*.zip" (esim. "task0000261520.zip")
- Liitetiedoston nimi on muotoa"invoice_*8 numeroa*_copy_.zip" (esim. "invoice_85773314_copy_.zip")
- Liitetiedostojen nimi voi olla muukin ja niiden sisällä on aina haitallinen .js-tiedosto.
Viestin otsikko
- Viestin otsikkona (Subject) on viestin lähetysajanhetken aikaleima muotoa "11/29/2015 4:30:09 pm"
- Viestin otsikkona on "invoice from passion beauty supply ltd"
- Viestin otsikkona on "your ticket order #*10 numeroa* approved" esim. "your ticket order #0000889687 approved"
Pyydämme olemaan havainnoista yhteydessä Kyberturvallisuuskeskukseen erityisesti, jos viesteissä esiintyy uudenlaisia tiedostonimiä tai otsikkoja.
Päivityshistoria
- 02.12.2015 klo 12:07Julkaistu
- 02.12.2015 klo 13:09Korjattu tunnistetietoja
- 02.12.2015 klo 19:48Korjattu kuvausta TeslaCryptin käyttämästä salausmenetelmästä
- 03.12.2015 klo 09:36Lisätty tunnistetietoja
- 04.12.2015 klo 09:07Lisätty haitallisten viestien tunnistetietoja
04 12 2015
Runsaasti huijausmainoksia liikkeellä
tietoturva, huijausMuun muassa Applen, BMW:n ja eri kauppaketjujen nimissä on viime päivinä lähetetty kilpailukutsuja. Kutsut ovat huijauksia, eikä mainituilla tahoilla ole mitään tekemistä väitetyn kilpailun kanssa.
Lähetettyjen viestien tavoitteena on saada huijauksen uhri soittamaan viestissä mainittuun maksulliseen numeroon. Huijaukset ovat hyvin samankaltaisia helmikuussa 2015 levinneiden päivittäistavarakaupan ketjuilla ratsastaneiden huijausten kanssa. Viestin voi poistaa eikä se aiheuta itsessään vaaraa käyttäjälle.
Kyberturvallisuuskeskus tekee yhteistyötä teleoperaattoreiden kanssa asian selvittämisessä ja huijaustarkoituksessa käytettävien maksullisten numeroiden poistamisessa käytöstä.
Kooste kuvankaappauksista huijaussivustoilta:
Päivitys 3.12.2015: Poistettu kuvakaappauksista Appleen liittyvä kilpailumainos.
Lisätietoja:
Tietoturva nyt! 18.9.2015: Huijausviestejä Iltalehden nimissä
Tietoturva nyt! 27.2.2015: Lidlin, Keskon ja S-ryhmän nimissä lähetetään huijausviestejä
Päivityshistoria
- 01.12.2015 klo 20:19Julkaistu
- 03.12.2015 klo 15:05Poistettu kuvakaappauksista Appleen liittyvä kilpailumainos.
Tietoturvatiedotteet
- SolarWinds Orion Platformin takaovi mahdollisti vakoilun ja tietomurtoja
- Kalastelusivujen anatomiaa – Box-tiedostonjakopalvelua jäljittelevä kampanja
- Emotet-haittaohjelmaa levitetään aktiivisesti Suomessa
E-Karjalan ICT-Palvelut.net Oy
Markku Järvinen 050 305 9931
markku.jarvinen(AT)ict-palvelut.net
markku.jarvinen(AT)ict-palvelut.net
Käytämme evästeitä. Lisätiedot. Tarkempi selvitys Traficomin jutusta tai täältä.