Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2010 > Syyskuu

Syyskuu

Tästä aiheesta löytyy myös RSS-syöte Rss-syöte

30.09.2010

ZeuS-haittaohjelmasta matkaviestinversio

Tietoja varastava haittaohjelma on laajentunut matkapuhelimiin.

ZeuS (tunnetaan myös nimillä Zbot ja Wsnpoem) on eräs edistyneimmistä tietoa varastavista haittaohjelmaperheistä. ZeuS-haittaohjelmia on käytetty laajalti verkkopankkitunnusten keräämiseen. Erityisesti keskieurooppalaisissa pankeissa on käytössä tekstiviestipohjaisia lisävarmistuspalveluita, joilla internetissä tehdyt maksutapahtumat varmennetaan. ZeuS-haittaohjelmien mobiiliversio hyökkää kyseisiä lisävarmistuspalveluja vastaan. Vastaavia tietokone- ja mobiilihaittaohjelmien yhteistoimintoja ei ole aikaisemmin tavattu.

Uuden ZeuS-haittaohjelmaversion saastuttama työasema ohjaa käyttäjän matkapuhelinpäivityksiä listaaville verkkosivuille tavallisen verkkoselaamisen yhteydessä. Sivut pyytävät syöttämään matkapuhelimen merkin, mallin ja puhelinnumeron. Hyökkääjä lähettää annettujen tietojen pohjalta tekstiviestitse linkin päivityspaketin nimellä kulkevaan haittaohjelmaan. Haittaohjelmia on tarjolla ainakin Symbian- ja BlackBerry-käyttöjärjestelmiä käyttäviin puhelimiin. Haittaohjelman Symbian-versio on allekirjoitettu aidolla varmenteella. Kyseinen varmenne on sittemmin peruttu, mutta Symbian-puhelimet eivät oletusarvoisesti tarkasta peruttuja varmenteita ohjelmistojen asennuksen yhteydessä.

Haittaohjelman avulla tehtävä hyökkäys käsittää useita vaiheita. Ensin käyttäjän tietokone ja puhelin saastutetaan, ja tietokoneella oleva haittaohjelma kerää pankkitunnukset käyttäjän kirjautuessa verkkopankkiin. Tämän jälkeen hyökkääjä voi kirjautua verkkopankkiin näitä tunnuksia käyttäen ja aloittaa maksutapahtuman. Puhelimessa oleva haittaohjelma saa maksun varmistuskoodin sisältävän tekstiviestin, ja lähettää sen eteenpäin hyökkääjälle ilmoittamatta käyttäjälle viestin saapumisesta. Lopulta hyökkääjä voi hyväksyä maksutapahtuman edelleenlähetetyn koodin avulla. Tällä hetkellä viestit edelleenlähetetään englantilaiseen +44778-alkuiseen puhelinnumeroon. Haittaohjelman hallintaominaisuudet mahdollistavat tämän numeron vaihtamisen.

ZeuS-haittaohjelma ei ole CERT-FI:n tietojen mukaan Suomessa erityisen laajalle levinnyt, eikä haittaohjelman mobiiliversiosta ole tehty havaintoja. CERT-FI:n tietojen mukaan mikään ei viittaa siihen, että mobiiliversio olisi kohdistettu Suomeen.

28.09.2010

Microsoft ASP.Net -päivitys saatavilla

Aktiivisesti hyväksikäytetty haavoittuvuus korjattiin Microsoftin toimesta normaalin aikataulun ulkopuolella. Myös SharePoint-ympäristöt tarvitsevat päivityksen.

Microsoft korjasi tänään ASP.Net -ohjelmointimenetelmäänsä koskevan haavoittuvuuden tavallisen päivityssyklin ulkopuolisella päivityksellä. Microsoftin tärkeäksi luokittelemaa päivitystä MS10-070 ei lisätty automaattisen päivitystyökalun piiriin, vaan se tulee päivittää käsin. Haavoittuvuus koskee ASP.Net -sovellusten myötä myös SharePoint-tuotteita.

CERT-FI kehottaa päivittämään haavoittuvat tuotteet pikaisesti hyväksikäyttöuhan vuoksi.

22.09.2010

Microsoftin ASP.Netissä olevaa haavoittuvuutta käytetään hyväksi

Microsoft ASP.Net on dynaamisten web-sivujen luomiseen käytetty ohjelmointimenetelmä. Ohjelmointimenetelmästä on löydetty paikkaamaton haavoittuvuus, jota Microsoftin mukaan käytetään aktiivisesti hyväksi.

CERT-FI:n haavoittuvuustiedotteessa 147/2010 kuvaillaan heikkoutta Microsoftin ASP.Netin käyttämässä salausmekanismissa. Heikkous mahdollistaa pääsyn www-palvelimella sijaitseviin tietoihin kuten esimerkiksi määrittely- ja salasanatiedostoihin. Lähettämällä palvelimelle suuren määrän tietyllä tavalla muokattuja pyyntöjä, hyökkääjän voi lisäksi olla mahdollista selvittää salausmekanismin käyttämä salausavain. Salausavaimen avulla hyökkääjä voi lukea ASP.Net sovelluksen salattuja tietoja.

Microsoftin mukaan haavoittuvuus koskee kaikkia ASP.Net ohjelmointimenetelmää käyttäviä palvelimia. Microsoft on julkaissut palvelimien ylläpitäjille tarkoitetun työkalun millä omat ASP.Net sovellukset voi tarkistaa. Sama julkaisu sisältää ohjeet siitä, miten mahdollisia hyökkäyksiä vastaan voidaan suojautua.

CERT-FI seuraa tilannetta ja päivitämme haavoittuvuustiedotettamme heti korjauspäivityksen tultua saataville.

20.09.2010

Haavoittuvuuskoordinointiprojektin tuloksena Bzip2 ja Quagga korjattiin

Kaksi CERT-FI:n haavoittuvuuskoordinointiprojektien tulosta julkaistu. Haavoittuvuudet koskivat tiedon pakkaukseen liittyvää Bzip2:ta sekä reititinsovellus Quaggaa.

Bzip2 pakkausformaatista ja Quagga-reititinsovelluksesta löytyneet haavoittuvuudet korjattiin CERT-FI:n haavoittuvuuskoordinointiprojektin tuloksena. Bzip2 sekä sen kirjastoversio Bzip2 ovat yleisesti käytössä olevia tiedonpakkausmekanismeja, kun taas Quagga on reititinsovellus jonka avulla voidaan välittää reititystietoa RIP, OSPF ja BGP-protokollien avulla.

Bzip2:ssa olevan haavoittuvuuden löysi Mikolaj Izdebski. Haavoittuvuuden vaikutukset ovat potentiaalisesti suuret koska Libbzip2:ta käytetään yleisesti tiedon pakkaukseen ja purkuun liittyvien sovellusten osana. Osa Bzip2:ta käyttävistä ohjelmista on automatisoituja, kuten yritysten ja palveluntarjoajien käyttämät haittaohjelmien ja roskapostien suodattimet.

Quaggan kaksi haavoittuvuutta liittyivät sen sisältämän BGP-daemonin tapaan käsitellä BGP-protokollan viestejä. BGP on Internetin rungossa käytettävä reititysprotokolla, ja sitä on usein kuvailtu internetiä kasassa pitäväksi liimaksi. Haavoittuvuuksia onnistuneesti hyväksikäyttämällä hyökkääjän olisi mahdollista aiheuttaa muutoksia reititystiedoissa. Muutokset reititystiedoissa vaikuttavat siihen mitä kautta tieto internetissä kulkee. Haavoittuvuuksien hyväksikäyttö vaatii kahden reitittimen välille ennalta luotua naapuruutta.

Haavoittuvuuskoordinoinnin yhteystiedot

CERT-FI haavoittuvuuskoordinoinnin tavoittaa seuraavasti:

Sähköposti: vulncoord@ficora.fi

Muut yhteystiedot:

https://www.cert.fi/palvelut/yhteystiedot.html

Lisätkää postiosoitteeseen sana haavoittuvuuskoordinointi.

CERT-FI suosittelee PGP- tai SMIME-salauksen käyttöä haavoittuvuuskoordinointiasioita käsiteltäessä. Avaimistomme löytyvät osoitteesta:

https://www.cert.fi/palvelut/yhteystiedot/rooliavaimet.html

CERT-FI:n haavoittuvuuskoordinoinnin periaatteet ovat luettvissa osoitteesta:

https://www.cert.fi/en/activities/Vulncoord/vulncoord-policy.html.

14.09.2010

0day-haavoittuvuuksia Adoben tuotteissa

Adoben yleisesti käytössä olevasta Adobe Readerista, Acrobatista ja Flash Playerista on löytynyt haavoittuvuuksia. Haavoittuvuuksiin ei toistaiseksi ole korjausta. Ne ovat niin sanottuja 0day (zero-day), eli nollapäivän haavoittuvuuksia. Toista haavoittuvuutta varten on olemassa rajoitusmenetelmä Microsoftin käyttöjärjestelmiin.

Adoben 8. syyskuuta ja 13. syyskuuta julkaisemat kaksi tietoturvatiedotetta, APSA10-02 ja APSA10-03 koskevat kahta haavoittuvuutta. Toinen haavoittuvuuksista koskee Adobe Acrobatia ja Readeria, toinen Adoben Flash-soitinta. Koska Flashilla tehtyä sisältöä on mahdollista sisällyttää Acrobatilla tehtäviin dokumentteihin, käytännössä toinenkin haavoittuvuus koskee myös Adobe Readeria ja Acrobatia. Haavoittuvuuksia yksilöivät CVE-tunnisteet ovat näille haavoittuvuuksille CVE-2010-2883 ja CVE-2010-2884.

Flashia koskeva haavoittuvuus koskee myös Android-käyttöjärjestelmän versioita Flash-soittimesta. Yhteistä haavoittuvuuksille on myös se, että kumpaankaan ei toistaiseksi ole korjaavaa ohjelmistopäivitystä saatavilla. Adobe on ilmoittanut julkaisevansa Adobe Readerin ja Acrobatin haavoittuvuuden paikkaavan päivityksen viikolla 40 alun perin suunnitellun viikko 41:n sijaan. Flash-soittimen päivitys on tulossa alustavien tietojen mukaan viikolla 43.

Ensimmäiselle haavoittuvuudelle (CVE-2010-2883, 8.9.2010) on olemassa rajoitusmenetelmä, mikä edellyttää Microsoftin EMET 2.0 (Enhanced Mitigation Experience Toolkit 2.0) työkalujen käyttöönottoa. Acrobatissa ja Readerissa olevan haavoittuvuuden avulla hyökkääjän on mahdollista kiertää Microsoftin käyttöjärjestelmissä olevat DEP- (Data Execution Prevention) ja ASLR-suojaukset (Address Space Randomization). ASLR ja DEP suojaavat käyttöjärjestelmää haittaohjelmilta estämällä muistialueiden käytön hyökkääjän ohjelmakoodin ajamisessa, tai tekemällä muistipaikkojen osoitteiden käytöstä hankalaa tekemällä niistä satunnaisia. Microsoft on julkaissut Security Research & Defense-blogissaan ohjeet EMET-työkalujen käyttöönottoon.

Hyväksikäyttöä voi pyrkiä rajoittamaan estämällä selaimissa Adobe Reader ja Flash Player -lisäosien käytön.

CERT-FI on julkaissut haavoittuvuuksista haavoittuvuustiedotteet 141/2010 ja 143/2010.

03.09.2010

Microsoft julkaisi turvattoman DLL-kirjastojen lataamisen estävän työkalun

Työkalu asettaa CWDIllegalInDllSearch-rekisteriavaimen arvoon, joka rajoittaa sovelluksen avaamien tiedostojen kanssa samassa hakemistossa olevien kirjastojen lataamista.

Microsoft julkaisi FixIt-työkalun, joka asettaa CWDIllegalInDllSearch-rekisteriavaimen kaikille käynnistettäville sovelluksille. Rekisteriavaimen arvo estää verkon yli tapahtuvat haavoittuvuuden hyväksikäyttöyritykset. FixIt-työkalu vaatii toimiakseen Microsoftin tietämyskannan artikkelissa KB 2264107 mainitun korjauspaketin asennuksen.