Background Print only logo
Cert logo
på svenska | in English
www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

Kyberturvallisuuskeskus

PL 313
00181 Helsinki

Mediayhteydenotot puhelimitse:
0295 390 248 (pvm/mpm)

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puhelinvaihde: 0295 390 100 (pvm/mpm)

Tarkat yhteystiedot

Tietoa evästeistä

Kyberturvallisuuskeskus Facebookissa

Etusivu > Varoitukset > 2005 > Varoitus 13/2005

CERT-FI varoitus 13/2005

8.2.2005

Lukuisia haavoittuvuuksia Windows-käyttöjärjestelmässä

Microsoft on julkaissut korjauspäivityksiä lukuisiin Windows-käyttöjärjestelmästä löydettyihin haavoittuvuuksiin. Suuri osa haavoittuvuuksista on kriittisiä.

Ensimmäinen, nimettyjen putkien käsittelyyn liittyvä haavoittuvuus on "Computer Browser" -palvelussa. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista saada selville kohdejärjestelmän sen hetkisen käyttäjän käyttäjätunnus.

Toinen haavoittuvuuksista on Windows-shell -toiminnallisuudessa ja se liittyy tiettyjen DHTML (Dynamic HTML) -tapahtumien virheelliseen käsittelyyn. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista tallentaa suoritettava ohjelmatiedosto kohdejärjestelmään haluamaansa hakemistoon. Tiettyihin hakemistoihin tallennetut tiedostot suoritetaan automaattisesti esimerkiksi järjestelmän käynnistymisvaiheessa. Haavoittuvuutta voidaan hyväksikäyttää www-sivun tai HTML-muotoisen sähköpostin kautta. Haavoittuvuuteen on julkisesti saatavilla olevia hyödyntämismenetelmiä.

Kolmas haavoittuvuuksista liittyy License Logging -palveluun. Haavoittuvuutta voidaan hyväksikäyttää lähettämällä haavoittuvalle palvelulle tietyllä tavalla muokattu paketti. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa omia komentojaan kohdetietojärjestelmässä tai kohdistaa siihen palvelunestohyökkäys.

Neljäs, SMB (Server Message Block) -protokollaan liittyvä haavoittuvuus on erityisen kriittinen. Haavoittuvuutta voidaan hyväksikäyttää suoraan verkon välityksellä lähettämällä haavoittuvalle järjestelmälle tietyllä tapaa muokattuja paketteja. Haavoittuvuutta voidaan lisäksi hyväksikäyttää ainakin www-sivun kautta. Haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista suorittaa kohdejärjestelmässä omia komentojaan.

Viides haavoittuvuuksista liittyy tiettyjen rakenteellisesti järjestettyjen (COM Structured Storage) tiedostojen käsittelyyn. Haavoittuvuutta hyväksikäyttämällä järjestelmään kirjautuneen käyttäjän voi olla mahdollista kohottaa käyttö-oikeuksiaan.

Kuudes haavoittuvuuksista liittyy Windowsin OLE (Object Linking and Embedding) -komponenttiin. Haavoittuvuutta voidaan hyväksikäyttää lähettämällä vihamielinen OLE-objekti sähköpostitse. Sähköpostin lukemiseen käytetyissä järjestelmissä haavoittuvuuden hyväksikäyttö vaatii OLE-objektin sisältämän liitetiedoston avaamisen, mutta sähköpostipalvelimena toimivissa järjestelmissä haavoittuvuutta hyväksikäyttö ei vaadi käyttäjän toimenpiteitä. Haavoittuvuutta voidaan hyväksikäyttää myös www-sivun välityksellä. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa omia komentojaan kohdetietojärjestelmässä.

Seitsemäs haavoittuvuuksista on DHTML Editing Component ActiveX -komponenttissa. Haavoittuvuus liittyy puutteelliseen suojaukseen eri turvavyöhykkeiden välillä. Haavoittuvuutta voidaan hyväksikäyttää www-sivun ja mahdollisesti myös HTML-sähköpostin välityksellä. Haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan. Haavoittuvuuteen on julkisesti saatavilla oleva hyväksikäyttömenetelmä.

Kahdeksas haavoittuvuuksista on pitkien hyperlinkkien käsittelyyn liittyvä puskuriylivuoto. Haavoittuvuutta voidaan hyväksikäyttää houkuttelemalla käyttäjä klikkaamaan tietyllä tavalla muokattua linkkiä. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa omia komentojaan.

VAROITUKSEN KOHDERYHMÄ:

Ensimmäinen haavoittuvuus:

  • Microsoft Windows XP

Toinen, neljäs, viides ja kuudes haavoittuvuus:

  • Microsoft Windows 2000

  • Microsoft Windows XP

  • Microsoft Windows Server 2003

Kuudennen haavoittuvuuden osalta on erityisesti huomioitava Exchange-sähköpostipalvelimet.

Kolmas haavoittuvuus:

  • Microsoft Windows NT Server 4.0

  • Microsoft Windows 2000 Server

  • Microsoft Windows Server 2003

Kolmannen haavoittuvuuden osalta on erityisesti huomioitava Windows NT 4.0 -palvelimiin kohdistuva uhka. Windows NT 4.0 -palvelimissa hyväksikäyttö ei vaadi palvelulle autentikoitumista.

Seitsemäs ja kahdeksas haavoittuvuus:

  • Microsoft Windows 2000

  • Microsoft Windows XP

  • Microsoft Windows Server 2003

  • Microsoft Windows 98

  • Microsoft Windows 98SE

  • Microsoft Windows ME

Tarkemmat tiedot haavoittuvista versiosta on kerrottu valmistajan tietoturvatiedotteissa.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva Windows-käyttöjärjestelmä valmistajan ohjeiden mukaan.

Ensimmäiseltä haavoittuvuudelta voidaan suojautua poistamalla käytöstä "Computer Browsing" -palvelu. Kolmannelta haavoittuvuudelta voidaan suojautua poistamalla käytöstä License Logging -palvelu. Neljännen haavoittuvuuden hyväksikäyttöä voidaan rajoittaa estämällä liikenne TCP-portteihin 139 ja 445.

Lisätietoa suojautumis- ja rajoituskeinoista löytyy valmistajan julkaisemista tietoturvatiedotteista.

LISÄTIETOA:

http://www.microsoft.com/technet/security/bulletin/MS05-007.mspx

http://www.microsoft.com/technet/security/bulletin/MS05-008.mspx

http://www.microsoft.com/technet/security/bulletin/MS05-010.mspx

http://www.microsoft.com/technet/security/bulletin/MS05-011.mspx

http://www.microsoft.com/technet/security/bulletin/MS05-012.mspx

http://www.microsoft.com/technet/security/bulletin/MS05-013.mspx

http://www.microsoft.com/technet/security/bulletin/MS05-015.mspx

PÄIVITYSHISTORIA:

08.02.2005: Julkaistu
Sivua päivitetty 30.11.2006   Tulostusversio Tulostusversio