Maaliskuu

31.03.2009

Confickerin saastuttamien koneiden löytämiseen on kehitetty työkalu

Ryhmä asiantuntijoita on kehittänyt työkalun, jolla Conficker-haittaohjelman saastuttamat työasemat voidaan löytää verkosta.

Conficker ja sen eri versiot ovat tartuttaneet useita miljoonia koneita maailmanlaajuisesti. Tutkijat ovat löytäneet keinon jolla verkkomato voidaan havaita verkossa. Conficker tarttui koneisiin alun perin käyttäen hyväksi haavoittuvuutta Windowsin server-komponentissa. Haavoittuvuus korjattiin MS08-067 päivityksellä, joka julkaistiin päivityssyklin ulkopuolella lokakuussa 2008.

Verkkomadon tartuttaessa tietokoneen se myös korjaa osittain haavoittuvuuden. Haittaohjelman korjaama ohjelmakomponentti on kuitenkin tunnistettavissa yksilöllisestä verkkojäljestä. Käytännössä tietokoneelta voidaan kysyä onko se saanut tartunnan. Työkalu, jonka tutkijat ovat kehittäneet, on tarkoitettu lähinnä verkon ja järjestelmien ylläpitäjille. Työkalun käyttö vaatii Python-komentotulkin lisäksi myös Impacket-kirjaston. Lisäksi Confickerin saastuttaneen työaseman tunnistus on liitetty useisiin verkkoskanneriohjelmistoihin, kuten Nessus, McAfee/Foundstone, nmap, ncircle ja Qualys.

Windowsin kotikäyttäjille paras tapa suojautua madolta on edelleen virustorjuntaohjelmiston sekä käyttöjärjestelmän päivityksestä huolehtiminen. Useimpien valmistajien virustutkat tunnistavat Confickerin nykyiset versiot, joskin nimikäytäntö eroaa valmistajasta riippuen. Yleisimmät nimitykset ovat Conficker ja Downadup.

26.03.2009

Laajakaistamodeemeissa pesivä verkkomato

Verkkomato liittää saastuneet modeemit bottiverkkoon

Tiettävästi ensimmäinen laajakaistamodeemeja vastaan hyökkäävä verkkomato on saavuttanut jalansijaa. Verkkomato pystyy toimimaan ainoastaan sellaisissa modeemeissa, joissa on sulautettu Linux-käyttöjärjestelmä. CERT-FI:n tietojen mukaan erityisesti BusyBox-ympäristöä käyttävät laitteet voivat olla verkkomadon kohteena. Kattavan laiteluettelon antaminen on vielä tässä vaiheessa mahdotonta.

Verkkomato käyttää leviämisessään hyväksi laajakaistamodeemin puutteellisesti suojattua hallintaliittymää. Tietojemme mukaan suurin osa tartunnasta saaneista modeemeista on ollut sellaisia, joissa hallintaliittymään on voinut kirjautua Internetistä käsin tehdasasetetuilla salasanoilla. Kirjautuminen on tapahtunut joko SSH-, telnet- tai HTTP-protokollaa käyttäen.

Päästyään kiinni hallintaliittymään verkkomato lataa modeemin muistiin ohjelman, jonka avulla modeemi liitetään osaksi hyökkääjän hallitsemaa bottiverkkoa. Viimeisten raporttien mukaan tässä ns. psyb0t-bottiverkossa on mukana jo yli 100 000 modeemia. CERT-FI:lle on raportoitu tapauksia myös Suomesta.

Tietojemme mukaan modeemeihin pesiytyvä verkkomato osaa kaapata modeemin läpi kulkevan salaamattoman verkkoliikenteen seasta tunnussanoja. Lisäksi hyökkääjä voi käyttää bottiverkkoa palvelunestohyökkäyksiin sekä tietomurtojen valmisteleluun ja suorittamiseen. Mikään ei kuitenkaan estäisi verkkomatoa ohjaamasta modeemin läpi kulkevaa verkkoliikennettä esimerkiksi hyökkääjän hallitsemalle palvelimelle.

CERT-FI suosittelee, että laajakaistamodeemin hallintaliittymä pidetään auki Internetiin päin vain pakottavista syistä. Pääsy hallintaliittymään voi olla hyvä estää myös langattoman lähiverkon puolelta, mikäli modeemi toimii langattoman lähiverkon tukiasemana. Lisäksi hallintaliittymän oletussalasanat tulee vaihtaa vaikeasti arvattaviksi. On myös hyvä tiedostaa, että modeemiin liitetyissä tietokoneissa toimivat virustorjunta- ja palomuurituotteet eivät pysty havaitsemaan tai estämään verkkomatoa.

Epäilyttävissä tapauksissa laajakaistamodeemi kannattaa hetkellisesti irrottaa sekä puhelinverkosta että verkkovirrasta. Modeemia ei tule liittää takaisin puhelinverkkoon ennen kuin hallintaliittymän salasana on vaihdettu ja asetukset on tarkistettu. Epäilys voi herätä, mikäli kaikki modeemiin langallisesti ja langattomasti kytketyt laitteet ovat sammutettu, mutta modeemin merkkivalot ilmoittavat jatkuvasta verkkoliikenteestä.

Tietojemme mukaan verkkomato ei selviä virtakatkoksesta, mutta täysi varmuus voidaan saavuttaa vain lataamalla modeemin ohjelmistoversio uudestaan. Samalla kannattaa tarkistaa jos tuotteelle on julkaistu päivitetyt ohjelmistoversiot.

23.03.2009

Update to the CERT-FI statement on the TCP weaknesses

CERT-FI has updated the statement on the TCP weaknesses reported by Outpost24.

CERT-FI is coordinating the TCP issue reported by Outpost24. We have updated our statement on the issue. We will publish further information on the coordination developments once we are getting closer to the actual disclosure and patch release date or if some other reason for an update appears.

23.03.2009

Päivitys TCP-haavoittuvuuden koordinointiprojektin tilanteeseen

CERT-FI on päivittänyt TCP-haavoittuvuuden koordinointitilanteesta tekemäänsä lausuntoa.

CERT-FI koordinoi Outpost24-tietoturvayhtiön julkisuudessa keskustelemien TCP-haavoittuvuuksien vaikutuslaajuuden selvittämistä ja korjauksia yhdessä ohjelmistovalmistajien kanssa. CERT-FI:n koordinointityön etenemistä seurataan CERT-FI:n aiheesta laatimassa lausunnossa, joka on elävä dokumentti. Kyseiseen dokumenttiin on juuri tehty päivitys. Lausuntoa päivitetään jälleen, kun koordinointi lähestyy tapauksen yksityiskohtien ja ohjelmistokorjausten julkaisua tai muuta aiheeseen liittyvää tiedotettavaa ilmenee.

21.03.2009

Conficker-verkkomadosta uusi variantti

Conficker-verkkomadon uusin variantti muuttaa madon toimintamekanismia leviämisestä olemassaolevan tartuntakannan ylläpitämiseen ja sisältää muutoksia madon päivitysmekanismiin.

Conficker (tunnetaan myös nimellä Downadup) -verkkomadosta on havaittu uusi variantti. Kyseinen variantti tunnistetaan tyypillisesti nimillä Conficker.D, Conficker.C tai Downadup.C. Kuten voidaan havaita, nimeämiskäytännöt vaihtelevat eri organisaatioiden välillä ja myös muita kuin edellä mainittuja nimityksiä käytetään.

Uusi variantti on havaittu ensimmäisen kerran maaliskuun 2009 alussa (tarkasta päivämäärästä on esitetty eri näkemyksiä) ja se eroaa toiminnallisuuksiltaan ja toimintaperiaatteeltaan aiemmista varianteista. Uusimmasta variantista on poistettu aiemmissa käytetyt leviämismekanismit. Uusimpaan varianttiin on vastaavasti lisätty entistä kehittyneempi peer-to-peer -tyyppinen päivitysmekanismi aiempien HTTP-protokollaa ja päivämäärään perustuvaa verkkotunnusten generointia sekä madon MS08-067-haavoittuvuuden hyväksikäyttöyrityksiä hyödyntävien mekanismien rinnalle. Lisäksi HTTP-pohjaista päivitysmekanismia on muunnettu siten, että uusin versio generoi päivittäin huomattavasti edellistä versiota suuremman määrän verkkotunnuksia, aiempaa useamman ylätason verkkotunnuksen alta. Haittaohjelman käyttämien ylätason verkkotunnusten mukana ei kuitenkaan ole .fi-verkkotunnusta. Edellä mainittujen haittaohjelmaan tehtyjen muutoksen johdosta tämän uusimman variantin jatkopäivitysten estäminen laajassa mittakaavassa - esimerkiksi varaamalla haittaohjelman käyttämiä verkkotunnuksia etukäteen - on aiempaa vaativampi tehtävä. Uusin variantti myös puolustautuu poistoyrityksiä vastaan uudella tavalla, muun muassa estämällä eräiden haittaohjelmien etsimiseen ja poistamiseen käytettyjen sovellusten käynnistymisen.

Toistaiseksi Conficker-haittaohjelma on pyrkinyt leviämään, päivittämään itseään ja ylläpitämään olemassaolevaa saastuneiden koneiden kantaa. CERT-FI:n tietoon ei ole tullut tapauksia, joissa sitä olisi hyödynnetty bottiverkoille tyypillisiin haitallisiin käyttötarkoituksiin.

18.03.2009

Yksi Conficker-verkkomadon käyttämistä verkkotunnuksista aktivoitunut

Muutaman tunnin aikana osa tartunnan saaneista koneista ehti hakea uutta haittaohjelmakoodia

Yksi Conficker-madon päivitysten ja komentojen hakemiseen käyttämistä internetosoitteista on aktivoitunut. Osa jo tartunnan saaneista koneista on pystynyt hakemaan uutta haittaohjelmakoodia. Kansainvälisen yhteistyön avulla verkkotunnus poistettiin käytöstä muutamassa tunnissa. Verkkotunnus jota mato käytti päivityksen hakemiseen, ei ollut madon torjuntaan perustetun ryhmittymän hallussa, vaan se oli rekisteröity ennen ryhmittymän perustamista.

11.03.2009

Päivityksiä Adoben ja Microsoftin ohjelmistoihin

Adobelta paikkaus Adobe Reader 9 ja Acrobat 9 ohjelmistoihin, Microsoftilta päivityksiä Windowsiin.

Adoben odotettu tietoturvapäivitys Adobe Reader 9 ja Acrobat 9 ohjelmistoihin paikkaa Adoben kriittiseksi luokitellun PDF-tiedostoformaatin käsittelyyn liittyvän haavoittuvuuden jonka avulla hyökkääjä voi suorittaa mielivaltaisesti komentoja kohdejärjestelmässä. Versioihin 7 ja 8, sekä Unix-versioihin päivitys tulee valmistajan mukaan myöhemmin.

Microsoft julkaisi kolme tietoturvapäivitystä joilla korjataan kahdeksan haavoittuvuutta. Päivitysten joukossa ei kuitenkaan ollut paikkausta Excelissä olevaan haavoittuvuuteen. Ennen kuin päivitys julkaistaan, suosittelemme MOICE:n (Microsoft Office Isolated Conversion Environment) käyttöä. Ohjelmistolla voidaan merkittävästi parantaa Microsoft Office-ohjelmistojen suojausta Office-tiedostojen käsittelyyn liittyviltä haavoittuvuuksilta. MOICE-työkalu tekee Office-tiedostolle konversion binääritiedostomuodosta Office 2007 XML-tiedostomuotoon ja takaisin. Tällä konversiolla saadaan suodatettua useimmat binääritiedostomuotoon liittyvät hyökkäysvektorit pois ennen tiedoston avaamista varsinaisella Office-ohjelmistolla.

02.03.2009

PDF-tiedostoformaatin JBIG2-käsittelyssä ongelmia myös muissa kuin Adoben tuotteissa

CERT-FI haavoittuvuustiedotteessa 010/2009 kuvattu PDF-tiedostoformaatin käsittelyyn liittyvä haavoittuvuus saattaa koskettaa jossakin muodossa myös muita kuin Adoben tuotteita.

Julkisuudessa on esitetty testaustuloksia, joiden perusteella PDF-tiedostoformaattia käsittelevien sovellusten (esimerkiksi PDF-lukuohjelmistot ja -editorit) JBIG2-kuvaformaatin käsittelyssä saattaa olla ongelmia laajemmin kuin pelkästään Adoben Reader ja Acrobat -tuotteiden osalta. Tarkkoja haavoittuvuusraportteja ei ole esitetty. Esimerkiksi SANS ISC on kuitenkin julkaissut blogiartikkelissaan alustavia tuloksia testeistä, joissa on havaittu, että tietyllä tavalla muotoillun JBIG2-osion sisältävä PDF-tiedosto saa useat PDF-formaattia käsittelevät sovellukset ja kirjastot kaatumaan. Arvioita tai tutkimustuloksia kaatumisia aiheuttavien muistinkäsittelyvirheiden hyväksikäytettävyydestä hyökkääjän komentojen suorittamiseen ei ole toistaiseksi esitetty.