CERT-FI varoitus 02/2008

Vakavaan Microsoft-haavoittuvuuteen on julkaistu tuotteistettu hyväksikäyttömenetelmä

Haavoittuvuus tiedostojen ja kirjottimien jakopalveluissa koskettaa suurta määrää käyttäjiä.

Microsoft julkaisi eilisessa ylimääräisessä haavoittuvuustiedotteessaan korjauksen vakavaan haavoittuvuuteen kaikkien Windows-versioiden käyttämissä tiedostojen ja tulostimien jakopalvelussa. Haavoittuvuuteen julkaistiin 24.10. tuotteistettu hyväksikäyttömenetelmä. Microsoftin tiedotteen mukaan viimeisin, 27.10. julkaistu hyväksikäyttömenetelmä mahdollistaa hyökkääjän omien komentojen suorittamisen Windows 2000, Windows XP ja Windows Server 2003 -järjestelmissä. CERT-FI:n useista lähteistä saamien tietojen mukaan haavoittuvuutta käytetään aktiivisesti hyväksi hyökkäyksissä mato-tyyppisten haittaohjelmien avulla. Mato piiloutuu ns. rootkitin avulla saastuneeseen tietokoneeseen, mikä tekee siitä vaikeasti havaittavan ja poistettavan. Haavoittuvuutta hyväksikäyttävä mato on levinnyt laajamittaisesti ja havaintoja on tehty useita satoja suomalaisissa verkoissa.

Haavoittuva palvelu on oletusarvoisesti päällä Windows-järjestelmissä.

• Työasemissa palvelu on suljettu palomuuriasetuksin XP SP2-järjestelmässä ja sitä myöhemmissä versioissa.
  
• Palvelinympäristöt kuitenkin käyttävät palvelua, ja sallivat liikenteen siihen tyypillisesti omista verkkojensa osalta. Näin ollen yksittäinen haavoittuva tietokone voi levittää haittaohjelmaa, kun se kytketään tähän verkkoon.
  
• CERT-FI:n tiedossa on myös, että useat kotikäyttäjät käyttävät myös palvelua. Tällöin palomuuri ei suojaa haavoittuvuudelta niiden verkkojen osalta, joihin liikenne on sallittu.

CERT-FI suosittelee, että verkkoliikenne TCP-portteihin 139 ja 445 kannattaa oletusarvoisesti suojata verkon rajalla. Tämän lisäksi tulee kuitenkin kaikki verkon koneet päivittää mahdollisimman pikaisesti, tai ottaa niissä käyttöön jokin muu Microsoftin tietoturvatiedotteessa MS08-067 luetelluista suojakeinoista.

CERT-FI seuraa kansainvälisten kumppaneidensa kanssa haavoittuvuutta käyttävien haittaohjelmien levitystä verkossa. Levityskanavat pyritään sulkemaan mahdollisimman nopeasti. Haittaohjelmanäytteet saatetaan myös virustorjuntayhtiöiden tietoon.

VAROITUKSEN KOHDERYHMÄ:

• Windows-järjestelmiä käyttävät organisaatiot ja yksityishenkilöt
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä Windows-järjestelmät ensi tilassa.

CERT-FI suosittelee suodattamaan mahdollisuuksien mukaan sisääntulevaa ja ulosmenevää liikennettä TCP-portteihin 139 ja 445 verkon rajalla.

LISÄTIETOA:

• http://www.microsoft.com/finland/technet/security/bulletin/2008/ms08oct.mspx
• http://www.microsoft.com/finland/technet/security_overview.mspx
• http://blogs.technet.com/tietoturvan_weblogi/default.aspx
• http://www.microsoft.com/technet/security/advisory/958963.mspx
• Tietoturva nyt! 27.11.2008
• Tietoturva nyt! 3.1.2008
• Tietoturva nyt! 5.1.2008
• Tietoturva nyt! 13.1.2008
• F-securen lista madon käyttämistä verkkotunnuksista
• F-securen analyysi
• Symantecin analyysi
• Microsoftin artikkeli Conficker/Downadup -madon havaitsemisesta ja poistamisesta (huom. CERT-FI suosittelee järjestelmän uudelleenasennusta haittaohjelmatartunnasta toipumiseksi)
  

PÄIVITYSHISTORIA:

24.10.2008, kello 13.48: Julkaistu
28.10.2008, kello 9.00: Lisätty lisätietolinkki haavoittuvuuden hyväksikäyttömenetelmästä kertovaan Microsoftin tiedotteeseen ja tarkennettu tietoja julkaistujen hyväksikäyttömenetelmien toimivuudesta.
3.11.2008, kello 14.09: Lisätty tieto ns. rootkit -madosta
7.11.2008, kello 14.50: Varoitus poistettu CERT-FI:n etusivulta
27.11.2008, kello 11.01: Lisätty tieto haittaohjelmien leviämisestä ja linkki Tietoturva nyt! -artikkeliin.
3.1.2009, kello 23.00: Lisätty havainto haavoittuvuutta hyväksikäyttävästä verkkomadosta Suomessa.
13.1.2009, kello 14.59: Lisätty linkit Tietoturva Nyt!-artikkeleihin
16.1.2009, kello 12.50: Lisätty linkki Microsoftin Conficker/Downadup -matoa koskevaan artikkeliin

Sivua päivitetty 16.01.2009

Tulostusversio