Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2010 > Elokuu

Elokuu

Tästä aiheesta löytyy myös RSS-syöte Rss-syöte

26.08.2010

Turvattoman DLL-lataamisen mahdollistavia ohjelmia löytyy paljon

Windows-käyttöjärjestelmän DLL-tiedostojen lataamiseen liittyvän turvattomuuden tultua julkisuuteen ovat eri tahot ryhtyneet etsimään ja luetteloimaan sovelluksia, jotka ovat mahdollisesti alttiita väärinkäytöksille. Huolimattomasti koodattuja ohjelmistoja on löytynyt paljon.

Microsoftin käyttöjärjestelmille tehtyihin sovelluksiin on muutaman viime päivän aikana julkaistu DLL-kirjastojen käyttöön liittyviä hyväksikäyttömenetelmiä. Haavoittuvien ohjelmien joukossa on kaikenlaisia sovelluksia mediatoistimista internet-selaimiin. Eri tahot ovat alkaneet myös julkaista listoja haavoittuvista ohjelmistoista.

Amerikkalainen tietoturvatutkija HD Moore julkaisi maanantaina automaattisen DLL-haavoittuvuuksien etsintätyökalun. Hyväksikäyttöesimerkkien (exploit proof of concept) huomattava lisääntyminen parin viime päivän aikana selittyneekin kyseisen työkalun käytöllä. Työkalusta julkaistiin tiistaina parannettu versio.

Ladattaviin kirjastoihin liittyvä ongelma on se, että jos sovelluksen tekijä ei ole täsmällisesti ohjelmakoodissa määritellyt, että mistä kirjastotiedosto ladataan, käyttöjärjestelmä etsii sitä tietyssä järjestyksessä ennalta määritellyistä paikoista, kun käyttäjä avaa sovelluksella tiedoston. Tätä ominaisuutta voidaan käyttää hyväksi hyökkäyksissä.

Microsoft on julkaissut ohjeita WebDAV- ja SMB-etäresurssien hyväksikäytön estämiseksi DLL-lataushyökkäyksissä. Menetelmistä löytyy lisätietoa Microsoftin knowledge base -artikkelista 2264107. Niiden avulla voidaan estää kirjastotiedostojen lataaminen työhakemistosta, jos ne sijaitsevat WebDAV- tai SMB-yhteyden takana.

DLL-ongelman kiertämiseksi ehdotetaan myös WebDAV- ja SMB-yhteyksien rajoittamista organisaation ulkopuolisiin osoitteisiin. Käytännössä WebDAV-yhteyksien estäminen voi kuitenkin estää sovelluksen toiminnan. Joka tapauksessa hakemistojen kirjoitusoikeudet tulisi tarkistaa, ja poistaa kirjoitusoikeudet tunnistautumattomilta käyttäjiltä.

Käytön aikana ladattavia kirjastoja myös muissa käyttöjärjestelmissä

Vastaava heikkous on periaatteessa olemassa monissa muissakin käyttöjärjestelmissä. Esimerkiksi Linux- ja muissa Unix-tyyppisissä käyttöjärjestelmissä ympäristömuuttujilla LD_LIBRARY_PATH ja PATH määritellään kirjastojen ja ohjelmatiedostojen hakujärjestys. Tyhjäksi jätetyn hakemiston tilalla polussa käytetään ajonaikaista hakemistoa (current working directory, $CWD).

24.08.2010

Windows-sovellukset voivat ladata haitallisia DLL-tiedostoja

Tietoturvatutkijat ja Microsoft ovat kiinnittäneet huomiota siihen, että monet Windows-sovellukset käyttävät dynaamisesti ladattavia kirjastoja (DLL) tavalla, joka voi mahdollistaa haitallisen koodin sisällyttämisen sovelluksiin.

Windows-sovellukset käyttävät ns. dynaamisesti ladattavia kirjastoja (Dynamically Loaded Library, DLL), jotka sisältävät sovelluksen tarvitsemia funktioita. Windows sisältää suuren määrän DLL-tiedostoja, jotka se osaa ladata oikeasta hakemistosta pelkän tiedostonimen perusteella.

Sovellus voi kuitenkin käyttää myös omia DLL-tiedostojaan. Jos ladattavan DLL-tiedoston täydellistä tiedostonimeä polkuineen ei määritellä, Windows etsii tiedostoa tietyistä hakemistoista tietyssä järjestyksessä. Näiden hakemistojen joukossa on myös se hakemisto, jossa sovelluksen avaama tiedosto on. Tämä hakemisto voi olla hyökkääjän hallitsemalla verkkolevyllä.

Hyökkääjä voi hyödyntää tätä ominaisuutta siten, että hän sijoittaa samaan hakemistoon avattavan tiedoston kanssa itse tekemänsä DLL-kirjaston, joka on samanniminen kuin jokin sovelluksen käyttämä DLL-kirjasto. Jos sovelluksessa ei määritetä DLL-kirjaston tarkkaa polkua, sovellus lataa avattavan tiedoston hakemistosta hyökkääjän määrittelemän DLL-kirjaston. Tätä kautta hyökkääjä pääsee ujuttamaan sovellukseen haluamaansa ohjelmakoodia

Huolellisesti koodattujen sovellusten tulisi Microsoftin ohjelmointiohjeiden mukaan varmistaa, ettei DLL-tiedostoa ladata oletushakemistosta. Näyttää siltä, että on paljon sovelluksia, jotka eivät sitä tee.

Metasploit-työkaluun on julkaistu lisäosa, jonka avulla voi etsiä ja käyttää hyväksi DLL-tiedostojen lataamiseen liittyvää haavoittuvuutta.

Ongelman rajoittaminen

Microsoftin mukaan kyseessä ei varsinaisesti ole käyttöjärjestelmän haavoittuvuus, vaan pikemminkin huolimattomasti koodatun sovelluksen aiheuttama ongelma. Microsoft on julkaissut ohjeen ja uuden rekisteriavaimen CWDIllegalInDllSearch, jonka avulla voi vaikuttaa DLL-tiedostojen lataamiseen ja siten rajoittaa ongelmaa.

13.08.2010

Massapostitettuja palvelunestohyökkäysuhkauksia liikkeellä

Viesteihin ei kannata vastata.

CERT-FI on vastaanottanut useita ilmoituksia sähköpostiviesteistä, joissa verkkotunnusten haltijoita on uhattu palvelunestohyökkäyksellä. Tietoon tulleissa tapauksissa uhkausviestien lähettäjäosoite on ollut yahoo.com -loppuinen. Viestin mukaan hyökkäyksen voi välttää maksamalla pienehkön summan rahaa hyökkääjän määrittämällä maksumenetelmällä. Viestejä on lähetetty lähes samansisältöisinä eri puolille maailmaa viime vuoden aikana. Tiedossamme ei ole tapauksia, joissa kyseisien viestien jättäminen huomiotta olisi kohdistanut palvelunestohyökkäyksen viestin vastaanottajaa kohti. Suosittelemme olemaan vastaamatta kyseisiin viesteihin.

Kyseessä voi olla laittoman uhkauksen tunnusmerkistön täyttävä tapahtuma. Ilmoitusta poliisiviranomaiselle kannattaa harkita.

Palvelunestohyökkäykset ovat uhka, joka on syytä ottaa huomioon organisaation ICT-varautumissuunnittelussa. Erityisesti verkkopalveluiden toiminnasta täysin riippuvaisten toimijoiden kuten verkkokauppojen on varauduttava tarvittaviin toimenpiteisiin.

06.08.2010

Haavoittuvuuskoordinaatioprojektissa korjattiin Ciscon salausprotokollatoteutusta

Cisco korjasi samalla seitsemän muuta haavoittuvuutta ASA-laitteissa

CERT-FI julkaisi tänään tiedotteen haavoittuvuuskoordinointiprojektin tuloksista. Projektissa korjattu haavoittuvuus koski Ciscon ASA-laitteiden TLS (Transport Layer Security) -toteutusta. TLS on protokolla, jonka avulla liikennettä voidaan välittää salattuna verkon yli. TLS on käytössä hyvin monissa sovelluksissa kuten www-palvelimissa ja VPN (Virtual Private Network) -etäkäyttösovelluksissa.

Useat TLS-sovellukset ovat tarkoitettu etäkäyttöä varten, ja siten niihin on tyypillisesti pääsy suoraan internetistä. Haavoittuvuuksia hyödyntämällä voi aiheuttaa palvelunestohyökkäyksen. Hyväksikäyttöön ei tarvita palveluun kirjautumista.

Cisco korjasi ASA-laitteista samaan aikaan seitsemän muutakin haavoittuvuutta. Haavoittuvuudet koskivat myös Cisco PIX 500 -sarjan laitteita. Sarjalle ei julkaista korjauspäivityksiä, koska sen tuki on päättynyt 28.7.2009.

05.08.2010

Huijauskirjeitä kuvatiedostoina

Vaikka kirje olisi näyttävä, ei sisältö muutu sen aidommaksi

CERT-FI on vastaanottanut ilmoituksia sähköpostiviestillä saapuvista huijauskirjeistä, joissa itse viesti on JPEG-kuvatiedostona viestin liitteenä. Kirjeessä viitataan YK:n ohjelmaan huijauksen uhrien auttamiseksi. Valitettavasti kirjeen näyttävästä ulkoasusta huolimatta tämäkin viesti on täyttä huijausta.

Tämäntyyppisiin viestit on syytä siirtää välittömästi oikeaan osoitteeseen - roskakoriin.