Background Print only logo
Cert logo
på svenska | in English
www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

Kyberturvallisuuskeskus

PL 313
00181 Helsinki

Mediayhteydenotot puhelimitse:
0295 390 248 (pvm/mpm)

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puhelinvaihde: 0295 390 100 (pvm/mpm)

Tarkat yhteystiedot

Tietoa evästeistä

Kyberturvallisuuskeskus Facebookissa

Etusivu > Tietoturva nyt! > 2009 > Heinäkuu

Heinäkuu

Tästä aiheesta löytyy myös RSS-syöte Rss-syöte

DirectShow-haavoittuvuuden korjaustoimet jatkuvat

Laajavaikutteisten haavoittuvuuksien vaikutusaluetta on usein hankala määrittää.

Microsoft julkaisi kuluvan viikon tiistaina 28.7 korjauksen VisualStudio-kehitysympäristön ATL-kirjastoon. Haavoittuvuudet havaittiin ensimmäiseksi haavoittuvuustiedotteessa 58/2009 mainitun DirectShow-kehyksen haavoittuvuuden korjausprosessin yhteydessä. Haavoittuvuuksien vaikutukset eivät rajoitu pelkkään kehitysympäristöön, sillä virheellistä kirjastoversiota käyttäen luodut komponentit ja kontrollit ovat myös haavoittuvia.

Microsoftin ecostrat-blogiartikkelin mukaan haavoittuvuuksien korjausprosessiin on kuulunut poikkeuksellisen paljon kommunikaatiota kirjastoa käyttävien kolmansien osapuolten kanssa. Tähän mennessä Adobe ja Cisco ovat julkaisseet päivityksensä ATL-haavoittuvuuteen liittyen. Microsoft on pyytänyt ohjelmistovalmistajia kertomaan heille komponenttiensa haavoittuvista versioista, jotta nämä voitaisiin lisätä tuleviin kill bit -päivityksiin. Ns. kill bit -toiminnallisuudella estetään rekisterissä lueteltujen haavoittuvien ActiveX-kontrollien ajo Windows-järjestelmissä.

Viimeksi kirjastot tuottivat harmia Microsoftille viime vuoden syyskuussa, kun haavoittuvaa GDI-kirjastoa levitettiin Microsoftin omien komponenttien lisäksi myös kolmansien osapuolten toimesta. Nämä tapaukset osoittavat, että yksittäisen haavoittuvuuden laskeumaa voi olla mahdoton arvioida, mikä monimutkaistaa niiden korjausprosessia tavattomasti. CERT-FI kehottaa asentamaan sekä Microsoftin haavoittuvuudet korjaavan päivityksen että kill bit -päivitykset, ja seuraamaan korjaustilannetta aktiivisesti muiden käytettyjen komponenttien osalta.

Sähköpostitunnuksia urkitaan kesälläkin

Urkittuja tunnuksia voidaan käyttää esimerkiksi roskapostin lähettämiseen.

Tietoomme on tullut tapaus jossa sähköpostin käyttäjätunnuksia ja salasanoja on urkittu. Tunnuksia ja salasanoja on pyritty saamaan haltuun englanninkielisellä viestillä, jossa kerrotaan tunnusten joutuneen roskapostittajien haltuun, ja näiden käyttäneen tunnusta laittomiin tarkoituksiin. Viesti on naamioitu ylläpidon lähettämäksi viestiksi.

Hyviin käytäntöihin kuuluu ettei ylläpito tai asiakaspalvelu kysy käyttäjien tunnuksia sähköpostilla tai puhelimessa. Mikäli tällaisen viestin saa, viesti kannattaa poistaa. Osa viesteistä on helposti tunnistettavissa urkintaviesteiksi niiden sisältämien kömpelöiden käännösten sekä runsaiden kirjoitusvirheiden vuoksi. Osa viesteistä on kuitenkin huolellisesti tehty, ja ne voivat näyttää aidoilta ylläpidon viesteiltä.

Heinäkuun Microsoft-päivitykset ja Office-haavoittuvuus

Office Web Components -kontrollin haavoittuvuuteen tarjolla rajoituskeino

Microsoft julkaisi maanantaina 13.7 tiedotteen haavoittuvuudesta Microsoft Office Web Components -ActiveX-kontrollissa. Tiedotteessa esitettiin haavoittuvuuteen rajoituskeinoksi kontrollin latautumisen estävä rekisterimuutos, ns. kill bit. Haavoittuvuuteen ei ole olemassa korjausta.

Heinäkuun päivityksissä julkaistiin korjaus haavoittuvuuksiin DirectShow-komponentin QuickTime-käsittelyssä, sekä rajoittava kill bit haavoittuvuuteen Microsoft Video ActiveX-kontrollissa. CERT-FI on julkaissut näistä julkisuudessa laajasti käsitellyista haavoittuvuuksista tiedotteet 45/2009 ja 58/2009.

Molempia ActiveX-kontrolleihin liittyviä haavoittuvuuksia käytetään hyväksi hyökkäyksissä. CERT-FI suosittelee asentamaan Windows-järjestelmiin ensi tilassa sekä heinäkuun päivitykset että Microsoftin tiedotteessa 973472 mainitut rajoituskeinot.

Mebroot-haittaohjelmatartuntoja suomalaisissa verkoissa

Vuoden 2008 alkupuolella yleistyneestä haittaohjelmasta edelleen havaintoja

Mebroot-haittaohjelmasta saatiin ensimmäisiä havaintoja vuoden 2007 lopussa ja vuoden 2008 alkupuolella. CERT-FI on saanut tänäkin vuonna joka kuukausi useita satoja ilmoituksia Mebroot-haittaohjelmatartunnoista.

Mebroot-haittaohjelman poistaminen on hankalaa, koska se tarttuu koneen kovalevyjen käynnistys- eli ns. MBR-lohkoon. Tällöin haittaohjelma pääsee käynnistymään ennen käyttöjärjestelmää ja virustorjuntaohjelmistoja, joten nämä eivät pysty sitä havaitsemaan. Mebroot-haittaohjelma asentaa koneelle käyttäjän tietoja varastavan nimillä Torpig, Anserin ja Sinowal tunnetun haittaohjelman, joka lähettää tiedot eteenpäin bottiverkon lokipalvelimille. Ohjelma pystyy rootkit-ominaisuuksiensa ansiosta piilottamaan tiedostoja ja verkkoliikennettä tietoturvaohjelmistoilta.

Haittaohjelma pystyy tarttuttamaan koneen, koska Windows-käyttöjärjestelmässä voidaan kirjoittaa kovalevyjen käynnistyslohkoihin käyttöjärjestelmän toimintoja käyttäen. Haittaohjelma tarttuu koneelle kuitenkin vain, jos konetta käytetään pääkäyttäjäoikeuksin. Asennuksen yhteydessä luodut käyttäjätunnukset kuuluvat vakiona Järjestelmänvalvojat-ryhmään. Uudemmissa Windows-käyttöjärjestelmissä, esimerkiksi Windows Vistassa, kovalevyjen käynnistyslohkoihin kirjoittaminen on estetty UAC-toiminnolla.

Mebroot-haittaohjelman havaitseminen ja poistaminen on mahdollista muunmuassa Symantecin ohjeitten mukaan Windowsin Recovery Console-työkalua käyttäen, tai F-Securen tarjoamalla käynnistysrompulla.

CERT-FI:n tietoturvakatsaus 2/2009 on ilmestynyt

CERT-FI:n vuoden 2009 toista neljännestä koskeva tietoturvakatsaus on ilmestynyt. Katsauksessa tarkastellaan merkittävimpiä tietoturvallisuuden uhkatekijöitä ja tulevaisuuden näkymiä.

Katsauksen aiheita ovat mm. www-sivujen kautta jaettavat haittaohjelmat ja älypuhelinten haavoittuvuudet.