CERT-FI haavoittuvuustiedote 094/2010

10.6.2010

Windows Help and Support Centre -ohjelmiston haavoittuvuus

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

Windows Help and Support Centre on sovellus, jota Windows käyttää verkon kautta saatavilla olevan dokumentaation lataamiseen. Windows viittaa dokumentteihin osoitteilla, joissa käytetään HCP -nimistä protokollaa. Osoitteet, jotka ovat muotoa hcp:// käsitellään Windows Help and Support Centre -sovelluksella. Oletusarvoisesti Windows-järjestelmissä HCP-protokollan protokollakäsittelijänä olevan helpctr.exe -sovelluksen syötteen tarkastuksessa on puutteita, jotka voivat johtaa koodin suorittamiseen kohteena olevassa järjestelmässä.

Hyökkäys voidaan helpoimmin toteuttaa houkuttelemalla käyttäjä seuraamaan haitalliselle sivustolle johtavaa linkkiä, jolloin voidaan suorittaa haluttuja komentoja käyttäjän oikeuksilla. Käytetystä selaimesta riippuen ja esimerkiksi työasemaan asennetusta Windows Media Playerin versiosta riippuen järjestelmä saattaa ennen hyökkääjän komentojen suorittamista esittää käyttäjälle dialogin, jossa käyttäjää pyydetään vahvistamaan Help and Support Centre -sovelluksen käynnistyminen tai Windows Media Playerin laajennetun sisällön lataaminen.

Päivitetty 2.7.
Haavoittuvuuteen on olemassa yleisesti saatavilla oleva hyväksikäyttömenetelmä. Microsoft on julkaissut tiedotteen, jossa varoitetaan hyväksikäyttöyritysten lisääntymisestä.

HAAVOITTUVAT OHJELMISTOT:

Päivitetty 11.6.

• Windows XP Service Pack 2 ja Windows XP Service Pack 3
• Windows XP Professional x64 Edition Service Pack 2
• Windows Server 2003 Service Pack 2
• Windows Server 2003 x64 Edition Service Pack
• Windows Server 2003 with SP2 for Itanium-based Systems

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Microsoft julkaisi korjaavan päivityksen heinäkuun tiedotteissaan. Korjaus jaetaan Windowsin automaattisten ohjelmistopäivitysten mukana. (Päivitetty 13.7.)

Help Centre -protokollan mukaisten URI:en käsittelyn voi poistaa kokonaan käytöstä poistamalla rekisteriavaimen:

HKEY_CLASSES_ROOT\HCP\shell\open

LISÄTIETOA:

• http://archives.neohapsis.com/archives/fulldisclosure/2010-06/0197.html
• http://secunia.com/advisories/40076/
• http://www.microsoft.com/technet/security/advisory/2219475.mspx
• http://blogs.technet.com/srd/
• CVE-2010-1885

Lisätty 2.7.

• http://blogs.technet.com/b/mmpc/archive/2010/06/30/attacks-on-the-windows-help-and-support-center-vulnerability-cve-2010-1885.aspx

Lisätty 13.7.

• http://www.microsoft.com/technet/security/Bulletin/MS10-042.mspx

Lisätty 15.7.

• http://blogs.technet.com/b/mmpc/archive/2010/07/13/update-on-the-windows-help-and-support-center-vulnerability-cve-2010-1885.aspx

PÄIVITYSHISTORIA:

10.6.2010, kello 14.53: Julkaistu
11.6.2010, kello 10.30: Lisätty linkit Microsoftin tiedotteisiin ja tarkennettu haavoittuvat ohjelmistoversiot
2.7.2010, kello 8.48: Lisätty linkki Microsoftin tiedotteeseen lisääntyneistä hyväksikäyttöyrityksistä
13.7.2010, kello 20.35: Lisätty tieto päivityksestä
15.7.2010, kello 10.25: Lisätty linkki Microsoftin tiedotteeseen hyväksikäyttöyrityksistä

Sivua päivitetty 15.07.2010

Tulostusversio