Background Print only logo
Cert logo
på svenska | in English 		www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2010 > Marraskuu

Marraskuu

Tästä aiheesta löytyy myös RSS-syöte Rss-syöte

25.11.2010

Windowsin ytimessä kaksi haavoittuvuutta

Windows Task Schedulerin haavoittuvuutta hyväksikäyttävä PoC-esimerkkiohjelma, eli proof of concept -työkalu on julkaistu. Windows-järjestelmissä olevaa haavoittuvuutta on käytetty hyväksi myös teollisuusjärjestelmiä vastaan suunnatussa Stuxnet-haittaohjelmassa. Toiseenkin samankaltaiseen Windowsin ytimen haavoittuvuuteen julkaistiin eilen PoC-työkalu. Haavoittuvuuksiin ei ole toistaiseksi korjaavia ohjelmistopäivityksiä.

Windows Task Schedulerin avulla voidaan tehdä ajastettuja tehtäviä joita käyttöjärjestelmä suorittaa esimerkiksi ylläpitotarkoituksiin. Task Schedulerista on löytynyt haavoittuvuus jonka avulla yksi käyttöjärjestelmän suojamekanismeista, UAC eli Unified Account Control on mahdollista kiertää. Haavoittuvuus koskee Windows XP:tä, Windows 7:aa sekä Windows Server 2008 R2:ta, sekä mahdollisesti muita käyttöjärjestelmiä. Haavoittuvuuden avulla rajoitetuilla oikeuksilla ajettava ohjelma voi suorittaa ohjelmakoodia järjestelmäoikeuksin.

Haavoittuvuuden hyväksikäyttömenetelmä sisältyi teollisuusautomaatiojärjestelmiä vastaan kohdistettuun Stuxnet-haittaohjelmaan. Kuvaus haavoittuvuudesta julkistettiin ESET-virustorjuntayhtiön Stuxnet-analyysissä, ja hyväksikäyttömenetelmä julkaistiin useilla sivustoilla joitakin päiviä tämän jälkeen. Korjaamatonta haavoittuvuutta voidaan käyttää hyväksi esimerkiksi levitettäessä muita haittaohjelmia sähköpostin avulla.

Eilen 24.11 julkistettiin hyväksikäyttömenetelmä myös toiseen vastaavaan käyttöoikeuksien laajentamisen mahdollistavaan haavoittuvuuteen Windowsin ytimessä. Kyseisen haavoittuvuuden vaikutuksia voi pienentää Sophos-tietoturvayhtiön blogiartikkelin ohjeiden mukaan. Kiertomenetelmän käyttöönotto ei sovellu aloittelijoille, eikä sitä voida suositella otettavaksi käyttöön testaamatta ensin perusteellisesti sen vaikutuksia esimerkiksi käyttöjärjestelmien eri kokoonpanoissa, paikkaustasoissa ja kieliversioissa.

CERT-FI on julkaissut korjaamattomista haavoittuvuuksista haavoittuvuustiedotteen 180/2010, jota päivitetään kun uutta tietoa haavoittuvuuksista tai niiden korjausmenetelmistä saadaan.

08.11.2010

Stuxnetin tekijät ja kohde yhä hämärän peitossa

Kesällä havaitun Stuxnet-haittaohjelman tekijöistä tai sen kohteena olevasta teollisuuslaitoksesta ei ole edelleenkään varmuutta. Teollisuusautomaatioon ja älykkäisiin sähköverkkoihin kohdistettujen hyökkäysten uskotaan lisääntyvän.

Tietoteknistä maailmaa kuohuttavan Stuxnet-haittaohjelman tekijöistä ei edelleenkään ole varmaa tietoa. Haittaohjelman teknisten analyysien perusteella uskotaan, että sen kohteena on joku tietty, toistaiseksi tuntematon, teollisuuslaitos. Vaikka Stuxnet on levinnyt useisiin tuhansiin Windows-koneisiin, se aktivoituu vain kohteena olevassa teollisuusympäristössä. Haittaohjelma ei siis vahingoita useimpia saastuttamiaan tietokoneita.

Stuxnetin hyväksikäyttämiä haavoittuvuuksia on korjattu

Haavoittuvuudet, joita Stuxnet käyttää leviämiseen, on korjattu. Käyttövaltuuksien nostamisen mahdollistavista haavoittuvuuksista toiseen on saatavilla korjauspäivitys, toinen on edelleen korjaamatta. Yleisimmät tietoturvaohjelmistot ovat tunnistaneet Stuxnetin jo heinäkuusta lähtien. Eri käyttöjärjestelmäversioihin voi tehdä kovennuksia, jotka estävät tietokoneen saastumisen ja haittaohjelman leviämisen. Lisäksi Siemens on julkaissut työkalun, jonka avulla haittaohjelman voi poistaa.

Stuxnet-haittaohjelman rakenne viittaa siihen, että kyseessä ei ole yhtä nimenomaista tarkoitusta varten rakennettu erityinen haittaohjelma. Pikemminkin kyseessä on yleiskäyttöinen haittaohjelmatyökalu, joka on koottu useasta erilaisesta komponentista. Tällä tavalla koottua haittaohjelmaa voidaan muokata tarpeen vaatiessa myös muihin tarpeisiin ja se voidaan kohdistaa myös toisiin kohteisiin. Stuxnetin ohjelmakoodia analysoitaessa on päätelty, että tekijöinä on todennäköisesti ollut useampi henkilö.

Stuxnetia on käsitelty tarkemmin CERT-FI:n Tietoturva nyt! -artikkelissa, Tietoturvakatsauksessa sekä CERT-FI:n ja Huoltovarmuuskeskuksen yhteistyönä järjestetyssä CIP-seminaarissa tiistaina 2.11.2010.

Teollisuusautomaatiojärjestelmät ovat hyökkäysten kohteena

Viimeistään nyt on selvää, että teollisuusautomaatiojärjestelmät ovat hyökkäysten kohteena. Hyökkäyksiä on ollut jo vuosia, mutta tapauksista on tyypillisesti vaiettu. Erilaisista teollisuusautomaatiokomponenteista löytyy jatkuvasti haavoittuvuuksia. Hyväksikäyttömenetelmiä useisiin haavoittuvuuksiin on lisätty myös automaattisiin työkaluihin, kuten Metasploitiin.

Perinteisesti teollisuusautomaation hallintaverkot ovat olleet eristettyinä yleisistä verkoista. Nykyisin tilanne on alkanut muuttua ja joitain hallintajärjestelmiä on kytketty jopa Internetiin. Erityisesti älykkään sähköverkon leviäminen laajentaa mahdollista hyökkäyspinta-alaa huomattavasti. Uuden tekniikan omaksumisen ja Stuxnetin saaman julkisuuden myötä teollisuusautomaatiojärjestelmiin kohdistuvien hyökkäysten uskotaan lisääntyvän.

Lisääntyvät uhat asettavat tiukempia vaatimuksia teollisuusautomaatiolaitteiden ja -järjestelmien tietoturvalle. Näissä ympäristöissä tulee ottaa käyttöön vastaavia tietoturvaperiaatteita, kuin mitä tietotekniikassa on käytössä yleisestikin. Kerroksellisen puolustautumisen mukainen tietoverkkojen segmentointi ja tietoturvallisen ohjelmoinnin periaatteiden käyttö sulautettuja järjestelmiä kehitettäessä parantaisivat teollisuusautomaation turvallisuutta huomattavasti.

04.11.2010

Internet Explorerin paikkaamatonta CSS-haavoittuvuutta käytetään hyväksi

Haavoittuvuutta käytetään hyväksi sekä www-sivuilla että kohdistetuissa hyökkäyksissä.

CERT-FI:n haavoittuvuustiedotteessa 171/2010 kuvailtua haavoittuvuutta on Microsoftin mukaan hyödynnetty ainakin yhdellä www-sivustolla. Symantec on lisäksi havainnut sähköpostitse toimitettuja haavoittuvuuden hyväksikäyttöyrityksiä. Kyseiset kohdistetut sähköpostit ovat sisältäneet linkin haavoittuvuutta hyväksikäyttävällä www-sivustolle. CERT-FI ei tällä hetkellä ole tietoinen Suomeen kohdistetuista hyökkäyksistä.

Haavoittuvuuteen ei ole saatavilla korjauspäivitystä. Mahdollisia rajoituskeinoja on kuvattu Microsoftin tiedotteessa.