Lokakuu

Tästä aiheesta löytyy myös RSS-syöte

31.10.2008

Microsoftin MS08-067 haavoittuvuudelle uudenlaisia hyväksikäyttötyökaluja

Metasploit-työkaluun on lisätty haavoittuvuutta hyväksikäyttävä moduli.

Metasploitiin lisätty moduli sisältää hyväksikäyttömekanismit muun muassa Windows XP ja Windows 2003 käyttöjärjestelmien jokaiselle service pack -versiolle ja useille kieliversioille. Tietoturvayhtiö F-Secure on myös havainnut haavoittuvuuteen liittyviä hyväksikäyttötyökaluja. F-Securen havaitsema työkalu on 'proof of concept' versio joka lisää guest -käyttäjätunnuksen Administrators -käyttäjäryhmään. Blogiartikkelin tietojen mukaan työkalu on kohdistettu Windows XP SP2, Windows XP SP3 ja Windows 2003 Server SP2 käyttöjärjestelmäversioihin. On oletettavaa että haavoittuvuutta hyödynnetään kohdistetuissa hyökkäyksissä ja että haavoittuvuutta automaattisesti hyödyntäviä haittaohjelmia tullaan havaitsemaan lähiaikoina.

30.10.2008

Verkkotunnusten hallintatunnuksia urkitaan sähköpostiviesteillä

Tavallisuudesta poikkeavia urkintaviestejä liikkellä.

Viime päivinä on havaittu tavallisuudesta poikkeavia urkintaroskaposteja. Viesteissä kerrotaan muun muassa verkkotunnuksen hallintaportaalin tulossa olevasta huoltokatkosta ja verkkotunnuksen vääristä whois-tiedoista, jotka verkkotunnuksen haltijan pitäisi korjata.

Näiden tarinoiden varjolla kalasteluviestin vastaanottaja houkutellaan seuraamaan viestissä olevaa linkkiä verkkotunnusrekisterin aidon hallintasivuston näköiseksi muokatulle, vihamieliselle sivustolle ja syöttämään sivustolle verkkotunnuksen hallintatilin kirjautumistiedot.

Tähän asti havaitut urkintaviestit on kohdistettu Enom-nimisen verkkotunnusten rekisteröijän asiakkaille, mutta niitä on lähetetty myös sellaisiin sähköpostiosoitteisiin, joiden haltija ei omista Enomin rekisteröimää verkkotunnusta. Jos verkkotunnuksen haltija erehtyy syöttämään hallintatilin kirjautumistiedot urkintasivustolle, sen ylläpitäjä voi saada verkkotunnuksen hallintaansa ja käyttää sitä vihamielisiin tarkoituksiin.

26.10.2008

CERT-FI-ALERT-listalle lähtenyt vanhoja tiedotteita

Teknisistä huoltotöistä johtuneen häiriön vuoksi CERT-FI-ALERT-listalle lähti vanhoja tiedotteita.

CERT-FI-ALERT-listan tilaajille lähti sunnuntaina 26.10.2008
klo 13.06-13.07 vanhoja haavoittuvuusilmoituksia ja yksi
vanha varoitus sähköpostijärjestelmän toimintahäiriön vuoksi.

Häiriön vuoksi lähetetyt haavoittuvuusilmoitukset olivat:
104/2008, 105/2008, 106/2008, 107/2008, 108/2008, 109/2008,
110/2008, 111/2008, 112/2008, 113/2008, 114/2008, 115/2008,
116/2008, 117/2008, 119/2008, 120/2008, 121/2008, 122/2008,
124/2008, 125/2008, 126/2008, 127/2008, 128/2008, 129/2008,
130/2008, 130/2008 (päivitetty). Häiriön vuoksi lähetetty Varoitus oli 02/2008.

Häiriö liittyi Viestintävirastolla 26.10. tehtyihin teknisiin
muutostöihin. Pahoittelemme aiheutunutta haittaa. Viestit voi
jättää huomiotta.

23.10.2008

Microsoft julkaisi syklin ulkopuolisen kriittisen päivityksen

RPC-viestien käsittelyyn liittyvä haavoittuvuus voi mahdollistaa matotyyppisen haittaohjelman kehittämisen.

Microsoft julkaisi tänään tavallisen päivityssyklin ulkopuolisen päivityksen RPC-liikenteen käsittelyyn liittyvään haavoittuvuuteen. Haavoittuvuuden avulla hyökkääjän on mahdollista saada kohdejärjestelmä hallintaansa. Haavoittuvuutta tullaan hyvin todennäköisesti käyttämään aktiivisesti hyökkäyksista, ja se voi mahdollistaa matotyyppisen haittaohjelman kehittämisen.

Haavoittuvuuteen on olemassa julkinen hyväksikäyttömenetelmä. CERT-FI suosittelee voimakkaasti päivittämään haavoittuvat ohjelmistot ensi tilassa. Helpoin tapa päivitysten asentamiseen on automaattinen päivityspalvelu. Haavoittuvuutta voidaan rajoittaa kytkemällä tiedostojen ja tulostimien jakopalvelun pois päältä, ja suodattamalla liikennettä TCP-portteihin 139 ja 445 ulkoisella tai Windowsin omalla palomuurilla.

23.10.2008

Microsoft julkaisee tänään kriittisen päivityksen normaalin päivityssyklin ulkopuolella

Haavoittuvuus on todennäköisesti vakava ja helposti hyväksikäytettävissä.

Microsoft julkaisee tänään päivityksen normaalin päivityssyklin ulkopuolella. Tämä on yleensä ollut merkkinä siitä, että päivityksen
korjaama haavoittuvuus on Microsoftin arvion mukaan kriittinen ja helposti hyväksikäytettävissä. Tällä hetkellä ei ole tiedossa,
käytetäänko haavoittuvuutta jo aktiivisesti hyväksi.

CERT-FI julkaisee haavoittuvuudesta tiedotteen tänään illalla Microsoftin tiedotteen ilmestyttyä. Päivitys vaatii Microsoftin ennakkotiedotteen mukaan järjestelmän uudelleenkäynnistämisen.

17.10.2008

TCP-haavoittuvuuden koordinointi etenee

Haavoittuvuuden julkaisu viipynee ensi vuoteen

Outpost24 piti tänään esityksen julkisuudessa esiintyneistä TCP-haavoittuvuudesta suomalaisessa T2-konferensissa. CERT-FI:n koordinointityö haavoittuvuuden osalta on sujunut odotetusti. CERT-FI on ollut yhteydessä eri verkkolaitetyyppien, käyttöjärjestelmien ja verkkosovellusten keskeisiin valmistajiin ja toimittanut näille tarpeelliset tiedot, jotta tapauksen vaikutuksia erityyppisiin laitteisiin ja verkkosovelluksiin voidaan arvioida. Arvioimme tämän tapauksen yksityiskohtien julkistamisen tapahtuvan vuoden 2009 puolella. CERT-FI tiedottaa tapauksen koordinnoinnin etenemisestä syksyn ja talven aikana.

17.10.2008

The CERT-FI statement on the TCP weakness has been updated

Coordination of the issue is underway.

CERT-FI is coordinating the TCP issue reported by Outpost24. We have updated our statement on the issue and added a section where we will be following the progress of the issue coordination.

14.10.2008

CERT-FI:n tietoturvakatsaus julkaistu

CERT-FI:n neljännesvuosittain ilmestyvä tietoturvakatsaus 3/2008 on julkaistu. Samalla julkaistiin myös kesällä rajatummin jaettu katsaus 2B/2008, joka käsitteli nimipalvelun DNS cache poisoning-haavoittuvuutta.

Kesän ja alkusyksyn tietoturvatapahtumia hallitsivat nimipalvelun vakavaksi luokiteltu haavoittuvuus ja edelleen yleiset www-sivujen sisällön muokkaamiseen pyrkivät hyökkäykset.

10.10.2008

Microsoft ja Oracle julkaisevat päivityksiä ensi tiistaina

Tiistai on päivityksiä täynnä

Microsoft julkaisee tiistaina 14. lokakuuta yhteensä 11 tietoturvapäivitystä. Alustavien tietojen mukaan päivityksistä neljä ovat luokitukseltaan kriittisiä. Kriittiset päivitykset koskevat Internet Exploreria, Microsoft Office Exceliä, Host Integration Serveriä (HIS) sekä Windows 2000 Serverissä toimivaa Active Directoryä. Kriittisten päivitysten lisäksi Microsoft julkaisee kuusi tärkeäksi luokiteltua päivitystä Windowsin eri käyttöjärjestelmäversioille. Osa päivityksistä vaatii järjestelmän uudelleenkäynnistyksen.
Myös Oracle julkaisee tiistaina neljännesvuosittaisen päivityspakettinsa. Alustavien tietojen mukaan päivityspaketti sisältää 36 tietoturvapäivitystä. Päivitykset koskevat Oraclen tietokantoja, Application Serveriä, E-Business Suitea, PeopleSoft Enterprise-tuotteita sekä Workshop for WebLogicia että WebLogic Serveriä. Osa päivityksistä ovat luokitukseltaan kriittisiä.

CERT-FI tulee julkaisemaan päivityksistä myös haavoittuvuustiedotteet. CERT-FI suosittelee päivittämään haavoittuvat ohjelmistot heti päivitysten tultua saataville.

09.10.2008

Päivittämättömät www-sivujen julkaisujärjestelmät ovat tietoturvariski

WWW-sivujen sisällön hallintaan tarkoitetuista ohjelmistoista löytyy jatkuvasti haavoittuvuuksia, jotka mahdollistavat sivustojen sisällön luvattoman muuttamisen. Murrettuja sivustoja käytetään haitallisen sisällön levittämiseen. Ylläpitäjiltä vaaditaan jatkuvaa aktiivisuutta järjestelmien päivittämiseksi.

CERT-FI:n havaintojen mukaan www-sivujen sisällön luvattomat muokkaamiset ovat lisääntyneet myös Suomessa. Erityisesti korostuu PHP-ohjelmointikielillä toteutettujen julkaisujärjestelmien kuten Joomlan ja Mambon suosio www-sivustojen alustana. CERT-FI:n arvion mukaan suuri osa niillä toteutetuista sivustoista käyttää vanhoja ohjelmistoversioita, joista haavoittuvuuksia ei ole korjattu.

Murrettuja julkaisujärjestelmiä voidaan käyttää hyväksi käyttäjätunnusten kalastelussa tai niiden avulla voidaan piilottaa sivuille haitallista ohjelmakoodia. Pahimmassa tapauksessa koko www-palvelin voidaan murtaa, jolloin kaikki palvelimella olevat sivustot ovat alttiina kyseisille hyökkäyksille. Murrettua palvelinta voidaan käyttää myös palvelunestohyökkäyksiin.

Sivustojen ylläpitäjien tulisi pitää huolta siitä, että julkaisujärjestelmistä löytyneet haavoittuvuudet korjataan mahdollisimman nopeasti. Tämä edellyttää sitä, että sivustojen ylläpitäjät seuraavat jatkuvasti ohjelmistovalmistajan tiedotteita ja asentavat korjatut versiot ohjelmistoista, kun niitä julkaistaan. Jos järjestelmään on asennettu sivuston toiminnallisuutta lisääviä osia, kuten verkkokauppaohjelmistoja tai uutissyötteiden seuraajia, myös niiden säännöllisistä päivityksistä tulee huolehtia.

02.10.2008

Julkisuudessa olevan TCP-haavoittuvuuden vaikutuksia tutkitaan

CERT-FI koordinoi haavoittuvuuden selvittämistä valmistajatahojen ja löytäjän kanssa

Kuluneen viikon aikana paljon julkisuutta on saanut Outpost24-tietoturvayhtiön julkisuuteen tuoma mahdollinen TCP-protokollatoteutusten haavoittuvuus. CERT-FI koordinoi haavoittuvuuden vaikutusten selvittämistä, mahdollisia korjaustoimia ja julkaisua yhdessä ohjelmistovalmistajien ja haavoittuvuuden löytäjän kanssa. Haavoittuvuuden vakavuutta selvitetään yhä. Lisätietoja haavoittuvuuksista julkaistaan vastuullisen haavoittuvuusjulkaisuprosessin periaatteiden mukaisesti.

Julkisuudessa esiintyneiden tietojen mukaan haavoittuvuus perustuu kohteen TCP-yhteysjonon täyttämiseen hyökkäysliikenteellä, jolloin kohteeseen aikaansaadaan palvelunestotila. Julkisten tietojen mukaan haavoittuvuuden hyväksikäyttö onnistuu suhteellisen pienellä liikennemäärällä, mutta sen torjuminen lähdeosoitetason suodatuksella on mahdollista.