Huhtikuu

28.04.2010

Microsoftilta korjattu päivitys pian vanhenevalle Windows 2000-käyttöjärjestelmälle

Microsoft on julkaissut uuden version turvallisuuspäivityksestä MS10-025. Päivitys korjasi haavoittuvuuden CVE-2010-0478 niissä Windows 2000-järjestelmissä, joihin oli asennettu Windows Media Services-mediapalvelu. Päivitys on viimeisiä Windows2000-järjestelmälle, jonka tuki päättyy heinäkuussa.

MS10-025 julkaistiin 12.4.2010 Microsoftin huhtikuun päivitysten yhteydessä. Päivityksellä korjattiin Windows 2000-järjestelmiin asennetussa Windows Media Services-palvelussa ollut aukko. Haavoittuvuuden (CVE-2010-0478) avulla hyökkääjän oli mahdollista suorittaa omaa ohjelmakoodiaan kohdejärjestelmässä. Päivitys kuitenkin vedettiin pois jakelusta 21.4.2010 koska korjaus todettiin riittämättömäksi, eikä sen havaittu suojaavan kaikilta hyväksikäyttömenetelmiltä luotettavasti. Palvelu ei kuulu Windows 2000-käyttöjärjestelmän oletusasennukseen.

Uudelleenjulkaistu päivitys tulee vain hieman yli kaksi kuukautta ennen kuin Windows 2000:n jatkettu tuki päättyy 13.7.2010. Tämän jälkeen Windows 2000-tuoteperheelle ei enää julkaista tietoturvapäivityksiä eikä Microsoftilta saa tuotteelle maksullista tukea, vaan tuote on virallisesti vanhentunut.

21.04.2010

McAfeen viallinen tunniste vaurioittaa Windows XP -pohjaisia järjestelmiä

McAfeen virustorjuntaohjelmiston vialliset virustunnisteet vaurioittavat Windows XP-järjestelmiä. Virheellisten tunnisteiden takia Windows XP (SP3) käyttöjärjestelmän komponentti svchost.exe tunnistuu haittaohjelmana w32/wecorl.a ja tietokone käynnistyy uudelleen kuudenkymmenen sekunnin kuluttua.

McAfeen virustorjuntaohjelmistolle jaettiin virheelliset virustunnisteet. Virustunnisteissa olevan virheen vuoksi Windowsin järjestelmäkomponentti svchost.exe tunnistuu haittaohjelmana nimeltä w32/wecorl.a. Svchost.exe on olennainen osa Windows-järjestelmiä, jonka avulla Windows suorittaa erilaisia toimintoja ja palveluja.

Saamiemme tietojen mukaan vialliset virustunnisteet ovat numeroltaan 5958 ja niitä on alettu jakaa yhtiön palvelimilta virustorjuntaohjelmistoille keskiviikkona 21. huhtikuuta. Viallisen virustunnisteen seurauksena tietokone antaa virheilmoituksen ja käynnistyy uudelleen kuudenkymmenen sekunnin kuluttua. Alustavien tietojen mukaan vain Windows XP Service Pack 3:n mukana tuleva svchost.exe tunnistuu haittaohjelmana.

Uudelleenkäynnistymisen voi keskeyttää kirjoittamalla komentokehoitteeseen tai "suorita" toimintoon "shutdown -a". Suorita-toiminto löytyy Windowsin Käynnistä-valikosta. McAfee on julkaissut ongelmaa rajoittavan korjaustiedoston EXTRA.DAT, sekä ohjeet korjaustiedoston käyttöönottoon ja svchost.exe:n palauttamiseksi virustorjuntaohjelmiston karanteenista.

Virheellisten tunnisteiden aiheuttamalta ongelmalta voi myös välttyä olemalla asentamatta virheelliset tunnisteet, sekä määrittelemällä virustorjuntaohjelmistoon svchost.exe:lle poikkeussäännön jonka mukaan sitä ei tarkisteta.

McAfee on laittanut jakeluun uudet virustunnisteet joissa ongelma on korjattu.

15.04.2010

Java-haavoittuvuuden korjaava päivitys tullut

Sunin Javassa versiosta 1.6.0_10 asti ollut haavoittuvuus on korjattu. Ohjelmistovalmistaja ei kuitenkaan kerro kovin tarkasti mitä on korjattu, tai miten haavoittuvuus on korjattu.

Oracle on julkaissut päivityksen 1.6.0_20 Sun Javaan. Turvallisuuspäivitys korjaa haavoittuvuustiedotteessamme 065/2010 (otsikko: Haavoittuvuus Java Web Start -kontrollissa) kuvatun haavoittuvuuden. Haavoittuvuuden avulla Javan sai käynnistämään tietokoneella mielivaltaisen prosessin, minkä avulla esimerkiksi muiden haittaohjelmien lataaminen koneelle oli mahdollista. Tietojemme mukaan haavoittuvuus on ollut Javassa mukana jo versiosta 1.6.0_10. Haavoittuvuus on alunperin tarkoitettu Java-kehittäjien työtä helpottavaksi ominaisuudeksi.

Jos tietokoneella on käytössä Java, se kannattaa päivittää välittömästi. Uusimman version Javasta saa ladattua osoitteesta http://java.com/getjava. Vanhat versiot Javasta kannattaa myös poistaa.

Tietojemme mukaan haavoittuvuutta on jo käytetty hyväksi hyökkäyksessä, jossa tietomurron avulla palvelimelta oli jaettu haavoittuvuuden avulla haittaohjelmapakettia. CERT-FI:lle ei toistaiseksi ole raportoitu suomalaisia sivustoja tai tapauksia, joissa tätä Java-haavoittuvuutta olisi käytetty hyväksi. On kuitenkin todennäköistä että haavoittuvuutta tullaan käyttämään hyväksi laajemminkin, Javan ollessa yksi yleisimmistä web-teknologioista.

13.04.2010

Haavoittuvat sisällönhallintajärjestelmien ja verkkokauppasovellusten lisäosat

Haavoittuvuudet sisällönhallintajärjestelmien lisäosissa vaarantavat koko järjestelmän turvallisuuden. Järjestelmän vaarantumisen lisäksi sillä ylläpidetyn www-palvelun käyttäjät voivat joutua tietämättään haittaohjelman uhreiksi.

Sisällönhallintajärjestelmien ja verkkokauppaohjelmistojen, kuten Joomlan ja osCommercen lisäosista löydetään jatkuvasti haavoittuvuuksia jotka asettavat palvelun ja sen käyttäjät vaaraan. Pelkästään viimeisen kahden viikon aikana internetissä haavoittuvuuksia seuraavilla sivustoilla on listattu useita kymmeniä hyväksikäyttömenetelmiä, jotka kohdistuvat sisällönhallintajärjestelmiin ja verkkokauppaohjelmistoihin tehtyihin lisäosiin. Useimmat hyväksikäyttömenetelmät ovat joko SQL injection- tai local- ja remote file inclusion -hyökkäyksiä.

Suuri osa nykyisistä hyökkäyksistä suoritetaan juuri SQL injection- sekä local- ja remote file inclusion-hyökkäyksiä käyttäen. SQL injection -hyökkäyksen avulla tietokannasta voidaan hakea tietoa, kuten käyttäjätunnuksia ja salasanoja. Local file inclusion -hyökkäyksellä voidaan päästä käsiksi palvelimen tiedostoihin joihin www-palvelun prosessilla on käyttöoikeus. Remote file inclusion -hyökkäystä käyttäen voidaan huijata palvelin suorittamaan toiselta palvelimelta haettavaa ohjelmakoodia. Murrettuja palvelimia voidaan käyttää esimerkiksi haittaohjelmien levittämiseen järjestelmän www-sivujen kautta.

Satunnaiselle selailijalle paras tapa suojautua murrettuja palvelimia vastaan on pitää selaimen lisäosat ja virustorjuntaohjelmisto päivitettynä. Palveluiden ylläpitäjien pitäisi puolestaan huolehtia siitä että sisällönhallintajärjestelmästä samoin kuin sen lisäosista on käytössä uusimmat versiot. Mikäli korjausta haavoittuvaan lisäosaan ei ole, kannattaa sen käyttöä rajoittaa tai jopa tilapäisesti poistaa käytöstä kunnes korvaava versio on käytössä tai päivitys on julkaistu.

12.04.2010

CERT-FI julkaisi haavoittuvuuskoordinointiprojektin tuloksia

Projektin tuloksena korjattiin somenjälkitunnistukseen perustuvia tietoturvatuotteita.

CERT-FI on julkaissut tietoturvatuotteisiin liittyvän haavoittuvuuskoordinointiprojektin tuloksia. Havaitut heikkoudet liittyvät virustorjuntaohjelmistojen ja muiden sormenjälkitunnisteisiin perustuvien ohjelmistojen, kuten tunkeutumisen havaitsemisjärjestelmien, tapaan käsitellä pakkausformaatteja.CERT-FI on koordinoinut heikkouksien julkaisun haavoittuvuuden löytäjän kanssa ja korjaukset heikkouden sisältävien tuotteiden valmistajien kanssa. Korjaukset ovat saatavilla päivittämällä haavoittuvat ohjelmistot.

09.04.2010

Tietomurto Suomi24-palveluun

Suomi24-palvelu on joutunut tietomurron kohteeksi. Tunkeutujat onnistuivat anastamaan palvelun käyttäjätietokannan.

Suomi24-palveluun on tehty tietomurto. Tietomurron seurauksena palvelun salatussa muodossa säilytetty käyttäjätietokanta on anastettu. Tietokannassa on säilytetty käytetyistä salasanoista vain tiivisteet, mikä hankaloittaa käyttäjätietojen hyväksikäyttöä huomattavasti. Tunkeutujat onnistuivat myös hetken aikaa jakaamaan haittaohjelmaa Suomi24-sivuston kautta. Hyökkäyksen mahdollistanut haavoittuvuus on korjattu ja tunkeutujien tekemät muutokset sivustoon on poistettu. Suomi24 on julkaissut asiasta tiedotteen.

Suomi24-palvelun käyttäjien tulee välittömästi vaihtaa salasanansa. Mikäli he käyttävät samaa salasanaa muissa palveluissa, myös näissä palveluissa olevat salasanat tulee muuttaa. CERT-FI seuraa tilanteen kehittymistä.

09.04.2010

PDF-tiedoston avaaminen voi käynnistää muitakin ohjelmia

PDF-tiedostomuodon tekninen määrittely mahdollistaa muidenkin ohjelmien, kuten multimedia- tai haittaohjelmien, suorittamisen.

PDF-tiedostot sisältävät mahdollisuuden suorittaa JavaScript-koodia, soittaa mediatiedostoja, avata www-sivuja ja käynnistää muita ohjelmia. Mahdollisuus käynnistää käyttäjän koneessa olevia paikallisia ohjelmia on ollut tiedossa jo pitkään, mutta nyt belgialainen tietoturvatutkija Didier Stevens on löytänyt tavan, jolla voidaan suorittaa myös PDF-tiedostoon sisällytettyä ohjelmakoodia.

Kokeiltaessa useita eri PDF-lukijoita Stevensin muokkaamalla PDF-tiedostolla on havaittu, että yleisesti käytetyt Adobe Reader, Adobe Acrobat ja Foxit PDF Reader -ohjelmat mahdollistavat mielivaltaisten komentojen ajamisen.

Adobe Reader ja Adobe Acrobat esittävät varoitusikkunan, jossa käyttäjä voi valita ajetaanko komento. Mikäli käyttäjä on aikaisemmin valinnut vaihtoehdon olla näyttämättä varoitusikkunaa, komento ajetaan automaattisesti. Komentojen ajamisen voi myös kieltää asetuksissa. Adobe Reader käyttäytyi samoin Windows, Linux ja Mac OS X -käyttöjärjestelmissä.

Foxit PDF Reader 3.2 suorittaa komennot automaattisesti ilman minkäänlaista varoitusta. Foxit Softwaren 2.4.2010 julkaisemassa uudessa versiossa 3.2.1 käyttäjää varoitetaan suoritettavista ohjelmista.

Kaikki PDF-lukijat eivät toteuta tiedostomuodon teknisen määrittelyn mukaista ominaisuutta, joka mahdollistaa ohjelmien käynnistämisen. Näitä lukijoita ei voi hyväksikäyttää hyökkäyksissä, jotka perustuvat ohjelmien suorittamiseen PDF-tiedostoista käsin.

PDF ei ole sen turvallisempi tiedostomuoto kuin muutkaan. PDF-tiedostoja käsiteltäessä tulisi olla yhtä varovainen kuin esimerkiksi Microsoft Office -tiedostoja käsiteltäessä.

09.04.2010

CERT-FI:n tietoturvakatsaus 1/2010 on julkaistu

CERT-FI:n tietoturvakatsauksessa käsitellään alkuvuoden merkittävimpiä tietoturvatapahtumia.

Julkisuudessa eniten huomiota ovat saaneet tietovuodot ja verkkosivustojen töhrimiset. Autoreporter-järjestelmän tilastotiedot kertovat haittaohjelmahavaintojen lisääntyneen merkittävästi. Verkkopankkiyhteyksiä kaappaavat haittaohjelmat toimivat suomalaisissakin verkkopankeissa.