Microsoft julkaisi haavoittuvuuksista yhdeksän tiedotetta, joista kolme on luokiteltu kriittiseksi. Kolmesta haavoittuvuudesta on julkistettu löytäjän toimesta tiedotteet, ja yhtä on käytetty kohdennetuissa hyökkäyksissä.

Korjatut kriittiset haavoittuvuudet liittyvät muistinkäsittelyvirheisiin Internet Explorer -selaimessa, kirjasintyyppien käsittelyyn Windowsin ytimessä sekä ryhmäkäytäntöjen (group policy) hallintaan.

Kyseisillä haavoittuvuuksilla voi olla mahdollista suorittaa haitallista ohjelmakoodia haavoittuvassa kohdejärjestelmässä huokuttelemalla käyttäjä avaamaan tiedosto tai liittymään hyökkääjän hallitsemaan verkkoon.

Muiden haavoittuvuuksien hyväksikäyttö voi johtaa palvelunestotilaan, käyttöoikeuksien laajentamiseen tai erilaisten tietoturvakontrollien ohittamiseen.

Internet Explorer -selaimen ASLR-suojausmekanismin (Address Space Layout Randomization) ohittavaa haavoittuvuutta CVE-2015-0071 on Microsoftin mukaan käytetty kohdennetuissa hyökkäyksissä.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

• Paikallisesti
• Ilman kirjautumista
• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Käyttövaltuuksien laajentaminen
• Luottamuksellisen tiedon hankkiminen
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys
• Ongelman rajoittaminen

Haavoittuvat ohjelmistot:

• Microsoftin käyttöjärjestelmien eri versiot.
• Katso tarkemmat tiedot haavoittuvista tuote- ja versiotiedoista Microsoftin tiedotteesta.

Ratkaisu- ja rajoitusmahdollisuudet:

Haavoittuvien ohjelmistojen päivitys valmistajan ohjeiden mukaisesti.

Lisätietoa:

https://technet.microsoft.com/en-us/library/security/ms15-feb.aspx

CVE-2014-6362

CVE-2014-8967

CVE-2015-0003

CVE-2015-0003

CVE-2015-0008

CVE-2015-0009

CVE-2015-0010

CVE-2015-0012

CVE-2015-0017

CVE-2015-0018

CVE-2015-0019

CVE-2015-0020

CVE-2015-0021

CVE-2015-0022

CVE-2015-0023

CVE-2015-0025

CVE-2015-0026

CVE-2015-0027

CVE-2015-0028

CVE-2015-0029

CVE-2015-0030

CVE-2015-0031

CVE-2015-0035

CVE-2015-0036

CVE-2015-0037

CVE-2015-0038

CVE-2015-0039

CVE-2015-0040

CVE-2015-0041

CVE-2015-0042

CVE-2015-0043

CVE-2015-0044

CVE-2015-0045

CVE-2015-0046

CVE-2015-0048

CVE-2015-0049

CVE-2015-0050

CVE-2015-0051

CVE-2015-0052

CVE-2015-0053

CVE-2015-0054

CVE-2015-0055

CVE-2015-0057

CVE-2015-0058

CVE-2015-0059

CVE-2015-0061

CVE-2015-0062

CVE-2015-0063

CVE-2015-0064

CVE-2015-0065

CVE-2015-0066

CVE-2015-0067

CVE-2015-0068

CVE-2015-0069

CVE-2015-0070

CVE-2015-0071

Facebookissa on tammikuun 2015 lopulta lähtien levinnyt huijauskampanja, jolla ihmiset yritetään saada asentamaan tietokoneelle haittaohjelma. Kampanja on ilmeisen tehokas: satojatuhansia käyttäjiä on maailmalla langennut huijaukseen. Tartuntoja on Suomessakin. Terve epäluulo internetin sisältöjä kohtaan ja ajantasainen virustorjunta riittävät torjumaan uhan.

Haittaohjelmaa levitetään hyvin perinteisellä ihmisten manipuloinnilla: käyttäjien väitetään esiintyvän aikuisviihdevideolla ja huijaajat luottavat ihmisten katsovan videon. "Video" on kuitenkin oikeasti linkki haittaohjelmaa tarjoavalle sivustolle, joka pyytää käyttäjää asentamaan uuden version Flash-ohjelmistosta, jotta video voitaisiin näyttää.

Tarjottu ohjelma ei kuitenkaan ole Flashin päivitys vaan haittaohjelma, joka julkaisee kopion ensiksimainitusta huijausvideosta käyttäjän tilapäivityksenä Facebookissa ja väittää muutaman tämän Facebook-kavereista esiintyvän videolla. "Päivitysohjelma" lataa samalla käyttäjän tietokoneelle toisen haittaohjelman, joka pystyy muokkaamaan tietokoneen hiiren kursorin liikkeitä ja näppäinpainalluksia. Tällaisella nk. keylogger-haittaohjelmalla verkkorikolliset voivat esimerkiksi varastaa käyttäjän näppäilemiä salasanoja. Verkkorikolliset voivat myöhemmin ohjata "päivitysohjelman" lataamaan käyttäjän tietokoneelle myös muita haittaohjelmia.

Haittaohjelmatartunta siis perustuu siihen, että käyttäjä uskoo verkkorikollisten Facebook-palveluun syöttämät valheet siitä, että on olemassa aikuisviihdevideo, jolla hän tai hänen kaverinsa esiintyy, ja että videon katsominen edellyttää ohjelman asentamista. Useimmat ajantasalle päivitetyt haittaohjelmien torjuntaohjelmat tunnistavat tarjotun ohjelman haitalliseksi ja ainakin varoittavat käyttäjää, mutta se on vasta puolustuksen toinen linja.

Lisää aiheesta

Huijaavat sovellukset (Tietoturva nyt! 19.8.2014)

Ylen uutinen "Onko sinutkin merkitty kaverisi videoon? – Aikuisviihteeksi naamioitu haittaohjelma leviää Facebookissa" (8.2.2015)

The Guardianin uutinen "Don't click on that porn video shared by a Facebook friend: it may be malware" (2.2.2015)

Viestintäviraston Kyberturvallisuuskeskuksen tietoon on tullut useita kiristyshaittaohjelma CTB-Lockerin tartuntatapauksia Suomesta. Pahimmillaan myös jaettujen verkkolevyjen tiedostot on salattu. Kyberturvallisuuskeskus muistuttaa ajantaisista varmuuskopioista, neuvoo tarkistamaan levyjakojen kirjoitusoikeudet ja kehottaa välttämään epämääräisten viestien availua. Lunnaiden maksaminen ei takaa tiedostojen avaamista.

Kyberturvallisuuskeskukselle on viime päivinä tullut useita ilmoituksia kiristyshaittaohjelma CTB-Lockerin tartuntatapauksista Suomessa. Edellisen kerran Kyberturvallisuuskeskus tiedotti haittaohjelmasta 21.1.2014 Tietoturva nyt! -artikkelilla, kun siitä tehtiin Suomessa ensihavaintoja.

Haittaohjelmakampanja jatkuu yhä kiihtyvällä tahdilla. Kyberturvallisuuskeskuksen tietojen mukaan ajantasainenkaan tietoturvaohjelmisto ei kaikissa tapauksissa riitä suojaamaan haittaohjelma tartunnalta.

Esimerkki sähköpostiviestistä

Esimerkki tuoreesta CTB-Lockeria levittäneestä sähköpostiviestistä:

-----------

Aihe: Fax2mail M12ME6F5C4541

Liite: sanofi_pasteur_msd_ltd201.zip

No.: +07844100414

Date: 2015.01.18 14:39:10 CST

Pages: 7

Reference number: M12ME6F5C4541

Filename: sanofi_pasteur_msd_ltd201.zip

- --

Sanofi Pasteur MSD Ltd

Glinda Hormell

- -----------

Haittaohjelman levitys ja tartunta

Kiristyshaittaohjelmaa on levitetty useilla eri sisältöisillä sähköpostiviesteillä. Yksi tyypillinen viestin aihe on ollut ilmoitus saapuneesta faxista, josta esimerkki edellä. Eräässä tapauksessa liitetiedoston nimi muodostui vastaanottajan sähköpostiosoitteesta.

Itse haittaohjelmaa on tyypillisesti levitetty sähköpostiviestin liitteenä olevan pakatun zip-päätteisen tiedoston sisällä. Varsinainen haittaohjelma on usein ollut scr-päätteinen, joka avautuu Word- tai Wordpad-ohjelmalla. Näitä viestejä on viime päivinä havaittu sadoittain suomalaisissa organisaatioissa. Myös muita tiedostopäätteitä on tunnistettu haittaohjelman levityksessä. Koska liitetiedostojen nimet, lähettäjän osoite ja viestin sisältö vaihtelevat suuresti, epämääräisten viestien ja liitetiedostojen avaamista tulee välttää.

Onnistuneessa tartunnassa kiristyshaittaohjelma lukitsee koneen tiedostot salakirjoituksella ja vaatii maksettavaksi lunnasrahoja tiedostojen avaamiseksi. Pahimmillaan myös jaettujen verkkolevyjen tiedostot on salattu, jolloin myös siellä säilytetyt varmuuskopiot voivat tulla lukituksi.

Ennaltaehkäisy

• Epämääräisten viestien ja erityisesti liitetiedostojen avaamisen välttäminen
• Ajantasaisten varmuuskopioiden ylläpitäminen ja erillään säilyttäminen
• Organisaatioissa verkon käyttäjien tiedottaminen uhasta voi lisätä huomiota ja vähentää tartuntatapuksia
• Levyjakojen kirjoitusoikeuksien kaventaminen voi lieventää tartunnan leviämistä organisaation verkossa jaetuissa tiedostoissa

Suosittelemme vahvasti organisaatioita tiedottamaan omia käyttäjiään välttämään tuntemattomista osoitteista tulleiden epäilyttävien sähköpostiviestien liitetiedostojen avaamista. Ajantasainenkaan tietoturvaohjelmisto ei välttämättä kaikissa tapauksissa tunnista haittaohjelmaa.

Salauksen poistaminen

CTB-Lockerin tuoreimpien versioiden käyttämää salausta ei voi purkaa ilman salaukseen käytettyä privaattiavainta. Kyberturvallisuuskeskus ei suosittele lunnaiden maksua tämän privaattiavaimen saamiseksi. Takeita ei ole, että avaimen saa tai että se avaa tiedostot onnistuneesti.

Lisätietoja:

• 21.1.2014 Tietoturva nyt! -artikkeli
• Kattava tietopaketti CBT-Locker kiristyshaittaohjelmasta: http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information