Üle maailma on enam kui 330 000 seadet, mis on haavatavad Fortigate’i turvanõrkusele

Kirjutasime blogis juuni keskpaigas Fortineti kriitilisest turvanõrkusesest Fortigate’i SSL-VPN seadmetes. Kuigi Fortinet paikas kriitilise turvavea (CVE-2023-27997) juba ligi kuu aega tagasi, on endiselt sajad tuhanded FortiGate’i tulemüürid paikamata ja seetõttu haavatavad FortiOS tarkvaras olevale nõrkusele. Tegemist on veaga, mis on hinnatud kriitilise skooriga 9.8/10. Küberturvalisusega tegelev ettevõte Bishop Fox tegi Shodani päringu, mille tulemusel selgus et 69% internetis avalikult leitavatest FortiGate’i seadmetest on endiselt paikamata. Lisaks selgus, et paljude internetis avalikult leitavate Fortineti seadmete tarkvara ei ole juba 8 aastat uuendatud. Ettevõtte sõnul võib olla turvanõrkust rünnetes ära kasutatud ja seetõttu on eriti oluline tarkvara uuendada esimesel võimalusel.

Fortineti seadmed on maailmas väga laialdaselt kasutusel nii eraettevõtetes kui ka riigiasutustes ning seetõttu on need ka häkkeritele meeldivad sihtmärgid. Viimaste aastate jooksul on mitmed ründed toimunud Fortineti haavatavuste kuritarvitamisel. Näiteks selle aasta veebruaris rünnati erinevaid süsteeme kasutades FortiNACi kriitilist turvanõrkust, mis võimaldas ründajal paigaldada ohvri serverisse veebikest ja saada ligipääs kompromiteeritud süsteemidele (BC, HN, arstechnica).

Kes ja mida peaks tegema?

Kõigil Fortigate’i SSL-VPNi seadmete kasutajatel tuleks FortiOSi tarkvara uuendada. Turvaviga on parandatud FortiOSi versioonides 6.0.17, 6.2.15, 6.4.13, 7.0.12 ja 7.2.5.

Mozilla paikas Firefoxi veebilehitsejas mitu turvaviga

Mozilla Firefox versioonis 115 on parandatud neli kõrge ja seitse keskmise mõjuga turvaviga. Haavatavused võivad muuhulgas kaasa tuua mälupesa sisu soovimatu muutmise ja pahatahtliku koodi käivitamise (IM, Mozilla).

Kes ja mida peaks tegema?

Mozilla soovitab kõigil kasutajatel teha veebilehitseja tarkvarauuendus ja uuendada see kõige viimasele versioonile.

Google paikas 46 turvanõrkust Androidi operatsioonisüsteemis

Androidi nutiseadmetes paigati 46 turvaviga, millest kolme (CVE-2023-26083, CVE-2021-29256 ja CVE-2023-2136) on ettevõtte sõnul juba rünnetes ära kasutatud. Kõige suurema mõjuga parandatud vigadest on kriitiline haavatavus tähisega CVE-2023-21250, mis mõjutab Androidi versioone 11, 12 ja 13. Haavatavus võimaldab ründajal pahatahtlikku koodi kaugkäivitada nii, et seadme kasutaja ei pea enda poolt midagi tegema (BC, MB, Android).

Kes ja mida peaks tegema?

Soovitame Android nutiseadmete tarkvara uuendada esimesel võimalusel. Enamusel seadmetel tuleb selleks valida „About phone“ või „About device“ ning seejärel „Software updates“. Tarkvara on võimalik uuendada neil, kes kasutavad Androidi versioone 10, 11, 12, 12L and 13.

Cisco hoiatas Nexus 9000 seeria seadmetes oleva turvanõrkuse eest

Cisco Nexus 9000 seeria kommutaatorites (swtitch) avastati kõrge mõjuga turvaviga CVE-2023-20185, mis võimaldab autentimata ründajal lugeda või muuta krüpteeritud liiklust. Viga on hinnatud CVSS skooriga 7.4/10. Haavatavus mõjutab kommutaatorite mudeleid Nexus 9332C, Nexus 9364C ja Nexus 9500. Hetkel teadaolevalt ei ole haavatavust rünnete läbiviimisel ära kasutatud (BC, SA, Cisco).

Kes ja mida peaks tegema?

Hetkel veale parandust ei ole ja Cisco sõnul ei ole ka tulevikus plaanis seda viga

parandada. Ettevõte soovitab mõjutatud seadmete kasutajatel  välja lülitada

Cisco ACI Multi-Site CloudSec krüpteerimise funktsioon.

MOVEit Transfer kutsub oma kliente tarkvara uuendama

Juunis kirjutasime mitmel korral MOVEit failiedastustarkvaras olevatest turvanõrkustest. Nüüd on taas tarkvaras paigatud üks kriitilise ja kaks kõrge mõjuga turvaviga. Kriitiline haavatavus (CVE-2023-36934) võimaldab teostada autentimata ründajal SQL-süsti. Kõrge mõjuga turvavea (CVE-2023-36932) kaudu on samuti võimalik teostada SQL-süsti, kuid eelnevalt on vaja autentida. Kolmas parandatud viga (CVE-2023-36933) aga võimaldab ründajal programmi töö ootamatult lõpetada (BC, HN).

Kes ja mida peaks tegema?

Turvavead on kõrvaldatud MOVEit Transferi versioonides 2023.0.4 (15.0.4), 2022.1.8 (14.1.8), 2022.0.7 (14.0.7), 2021.1.7 (13.1.7) ja 2021.0.9 (13.0.9). Soovitame tarkvara uuendada esimesel võimalusel ja tutvuda ka tootja poolt avalikustatud informatsiooniga nende kodulehel.

Millised nimeserverid töötavad Eestis? Eesti on kasutusel D, E, F, I, J ja K root DNS serverid, lisaks ka .com ja .net domeenide koopiat hoidev b.gtld-servers.net. Loetletud nimeserveritest kõige värskem on kuu alguses lisandunud J root DNS ning Eesti esimesed .com ja .net koopiad.

Sideteenuse pakkujatele on need interneti alustaristut kindlustavad teenused kättesaadavad läbi Eesti internetisõlmpunkti RTIX-i. Riigi Infosüsteemi Ameti pakutav RTIX on riigi hallatav dubleeriv interneti sõlmpunkt, mis ühendab Eesti internetivõrgud. Selle eesmärk on tagada võrkude omavaheline liiklus ka siis, kui ühendus välisriikidega on mingil põhjusel häiritud. Samuti on RTIX vahendusel otse kättesaadavad kõik .ee tsooni koopiad. Lisandunud hüvedest saavad automaatselt osa sideteenuse pakkujad, kes on liitunud RTIX-ga ning kasutavad RTIX route servereid. 

Miks on oluline, et root DNS või .com ja .net asuvad sulle lähedal?

Root DNSi toimimine on ühtlasi ka interneti toimimise alustala, sest just see teenus hoiab nimekirja, kus asuvad erinevate üladomeenide tsoonide nimeserverid. Näiteks teab root DNS, et .ee nimede kohta tasub küsida .ee tsooni autoriteetsest viiest nimeserverist koos vastavate IP aadressidega: b.tld.ee, e.tld.ee, ee.aso.ee, ee.eenet.ee ja ns.tld.ee.

Mida lähemal on root DNS sinu nimesid lahendavale DNSile, seda kiiremini tuleb ka vastus ehk domeeninimi (www.ria.ee) teisendatakse IP-aadressiks või vastupidi. Selle tulemusena teab sinu arvuti rutem, kus teenus asub, ühendub sinna ning sulle avaneb teenus. Kuid lisaks kiirusele on veelgi olulisem nimede lahendamise tõepärasus. Mida lähemal asub vastus, seda väiksem on võimalus teekonnal vastust mõjutada ning seeläbi sinu internetiliiklust valesti suunata. See ei ole ainult mugavuse, vaid ka turvalisuse küsimus.

Domeenidest on .com ja .net kõige kasutatavamad domeenid ning selle teenuse olemasolu Eestis vähendab ründepinda kõige laiemalt. See ei ole üksnes teoreetiline oht. Siit saate lugeda hiljutist analüüsi, mis kirjeldab, kuidas Mehhiko WhatsAppi kasutajate päringuid manipuleeriti.

https://labs.ripe.net/author/qasim-lone/detecting-dns-root-manipulation/

Miks on oluline, et sinu nimesid lahendav DNS asub sulle lähedal?

Niisiis, nimesid lahendava DNSi jaoks on tähtis, et tema jaoks autoriteetsed allikad asuvad talle lähedal, et kiirendada nimelahendusi ja vähendada nimelahendustega manipuleerimist. Sama oluline on vahemaa, mis lahutab sind ja nimesid lahendavat DNSi.

Mida kaugemal asub sinu jaoks nimesid lahendav server, seda aeglasemalt tulevad vastused ja seda suurem on võimalus pahatahtlikult teenuse pakkuja nimel valesti vastata. Seeläbi on lihtsam suunata liiklust kuhugi, kuhu ta minema ei peaks. Tasub märkimist, et DNS nimelahenduse turvalisust tagav protokoll DNSSEC ei ole selle ründe objektiks, kuna valideerimine leiab aset, siis toimub nimelahendaja teenuse juures. See aga tähendab, et teekond nimelahendaja juurest sinuni on endiselt haavatav. Sellepärast tuleks eelistada neid nimesid lahendavaid teenuseid, mis asuvad sulle võimalikult lähedal või krüpteerida vastavad päringud.

CERT-EE pakub avalikku nimede lahendamise teenust, mis järgib nimede lahendamisel eri turva- ja privaatsusstandardeid. See teenus ei lahenda neid nimesid, mille taga asuvad õngitsus- või pahavara sisaldavad lehed.  CERT-EE teenust saab kasutadakrüpteeritult toetades nii DNS over HTTPS kui ka DNS over TLS protokolle. Globaalsetest teenusepakkujatest on Eesti internetisõlmpunktis RTIX olemas nii Cloudflare 1.1.1.1 kui ka Quad9 9.9.9.9. 

Mida pean tegema, et nimelahendused oleks võimalikult turvalised?

Kasutades CERT-EE nimeservereid ei ole vaja teha midagi, sest siis kasutad Eesti interneti sõlmpunkti RTIX teenust täiel määral. Ka RIA riigivõrgu kliendid ei pea tegema midagi, sest neile on teenusepakkuja poolt tagatud RTIXi teenuste hüved.

Kui sa ei kasuta CERT-EE nimeservereid ega ole riigivõrgu klient, siis küsi oma sideteenuse ja DNS teenuse pakkuja käest, kas ta on RTIX-il kohal ning kasutab RTIX-i route servereid. Ilma eelnevata ei ole võimalik operatiivselt osa saada hüvedest, mida Eesti internetiteenuse sõlmpunkt RTIX pakub.

RIA küberintsidentide käsitlemise osakond (CERT-EE)

1. novembril avalikustasid OpenSSLi arendajad enda teegist versiooni 3.0.7, millega parandati kaks kõrge tasemega turvanõrkust (CVE-2022-3602 ja CVE-2022-3786). Algselt hinnati esimest nõrkust kriitiliseks, kuid OpenSSLi loojad alandasid kriitilisuse taset pärast arutelusid eri osapooltega[1].

OpenSSL on avaliku lähtekoodiga tarkvara, mida kasutatakse laialdaselt muuhulgas võrguliikluse krüpteerimiseks (sealhulgas VPNi lahenduste või HTTPSi protokolli puhul). OpenSSLi arendajad on varem hinnanud vaid üht nõrkust kriitilise tasemega (HeartBleed-nimeline haavatavus 2014. aastal). Tol korral oli ründajatel võimalik nõrkuse abiga varastada sessiooniküpsiseid, paroole ja muud tundlikku informatsiooni.

Mõju Eestis

Kogu maailmas ja ka Eestis on OpenSSLi kasutamine laialt levinud, kuid on keeruline hinnata, kui ulatuslikult kasutatakse Eestis teegi haavatavaid versioone (3.0.0–3.0.6).

Riigi Infosüsteemi Ameti CERT-EE osakonnale ei ole seni teada ühtegi juhtumit, kus haavatavust oleks suudetud ära kasutada. Arendaja kirjutas eilses blogipostituses, et neile ei ole samuti teada ainsatki sellist juhtumit1. Samas on nõrkused väga uued ja informatsiooni aina laekub. Internetist leiab juba esimesi CVE-2022-3602 nõrkuse kontseptsiooni tõendusi (POC).

Ärakasutamiseks on siiski vaja täita teatud eeltingimused (käsitleme neid allpool) ja nõrkuseid ei ole üleüldiselt lihtne kuritarvitada. Lisaks rõhutatakse, et maailmas kasutatakse hetkel rohkem OpenSSLi 1.x versioone kui 3.x.x versioone (Graafik 1).

Millised rakendused on haavatavad?

Haavatavad on kõik rakendused, mis kasutavad OpenSSLi versiooni 3.0.0–3.0.6. Haavatavad ei ole lahendused, mis kasutavad OpenSSLi 1.x.x versioone.

Nimekiri mõjutatud toodetest

Hollandi riiklik küberturvalisuse keskus (NCSC-NL) haldab koostöös partneritega GitHubi repositooriumi, kus on välja toodud nimekiri nõrkuse poolt mõjutatud tarkvaradest. Soovitame IT-ekspertidel ja CISOdel seda veebilehte jälgida.

Selle GitHubi põhjal ei saa teha siiski vettpidavaid järeldusi, et teised süsteemid ja tarkvarad ei ole haavatavad, sest organisatsioonid võivad kasutada lahendusi, mida ei ole nimekirjas välja toodud. Kõik oleneb sellest, kas kasutatakse teegi 3.x versioone või mitte.

Turvanõrkuste olemus

Haavatavused on seotud X.509 sertifikaatide verfitseerimisfunktsiooniga ning nõrkuste abil saab teostada puhvri üle täitumist (buffer overflow). Ründajad saavad nii põhjustada teenusekatkestusi. CVE-2022-3602 puhul on kirjutatud ka võimalusest käivitada pahaloomulist koodi, kuid see järeldus on hetkel teoreetilisel tasemel.

Eduka ärakasutamise jaoks on ründajal vaja, et vähemalt üks järgnevatest tingimustest on täidetud:

• Pahaloomulise sertifikaadi olemasolu, mille on allkirjastanud usaldusväärne sertifitseerimiskeskus (Certificate Authority).
• Süsteem, mis kontrollib pahaloomulist sertifikaati, ei valideeri ülemsertifikaate (parent certificates)

Pikem tehniline analüüs CVE-2022-3602 nõrkuse kohta on siin: https://securitylabs.datadoghq.com/articles/openssl-november-1-vulnerabilities/#vulnerability-description

Soovitused infoturbejuhtidele

1. Tuvasta, kas teie ettevõtte süsteemid on haavatavad siin kajastatud turvanõrkuste vastu. Kasulik on koostada nimekiri haavatavatest tarkvaradest ja plaan, millal ja kuidas mõjutatud komponendid paigata. Samuti tuleks veenduda, et ettevõtte partnerid, kellel on ligipääs teie süsteemidele, ei ole haavatavad nende turvanõrkuste vastu. Halbade asjaolude kokkulangemisel võib partneri süsteem mõjutada ka teie süsteemi.

2. Uuenda haavatavaid OpenSSLi versioone kasutavad rakendused esimesel võimalusel nii, et need kasutaksid vähemalt teegi versiooni 3.0.7. Kui uuendamine ei ole võimalik, soovitab arendaja ühe lahendusena TLS-serverite haldajatele keelata võimalusel TLS-kliendi autentimine seniks, kuni uuendused on rakendatud1.

3. Vaata üle, kas mõjutatud on teenused, mis on interneti kaudu ligipääsetavad. Kui jah, tuleks infoturbejuhtidel või süsteemihalduritel vajadusel hinnata, kas on võimalik ajutise meetmena (kuni paigatud versiooni või alternatiivsete lahenduste rakendamiseni) ligipääsu neile teenustele piirata (need internetist eemaldada, kui kübeintsidendi toimumise risk on suur).

4. Kui te ei ole seda veel teinud, soovitame liituda CERT-EE igahommikuse uudiskirjaga, mis toob teieni kõik olulisemad turvanõrkustega seotud uudised. Juhendi, kuidas uudiskirjaga liituda, leiate siit: https://www.ria.ee/et/kuberturvalisus/cert-ee.html. Samuti kajastame iganädalaselt olulisemaid turvanõrkustega seotud uudiseid RIA blogis.

[1] https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

Taust
20.06.2022

Mai lõpus avastati ühest analüüsikeskkonnast pahaloomuline Wordi dokument. Dokumendi uurimise käigus selgus, et see võimaldab ründajale pahavara käivitanud kasutaja õigustes koodi kaugkäitust mõjutatud Windowsi operatsioonisüsteemidest. Dokumendi tegi eriliseks aga asjaolu, et pahaloomulise koodi käivitamiseks kasutati legitiimset Windowsi tööriista (Microsoft Diagnostic Tool). Tegu oli turvanõrkusega, mille jaoks väljastas Microsoft 30. mail ametliku hinnangu. Turvapaiga paikamiseni kulus siiski ligi kaks nädalat.  Ohustatud on kõik kasutajad, kes kasutavad Microsoft Office 2013, 2016, 2019 ja 2021 tarkvara ning paikamata Windowsi operatsioonisüsteeme, mis saavad veel turvauuendusi[1].

Mõju maailmas ning Eestis

Turvanõrkust üritatakse hetkel maailmas aktiivselt kuritarvitada. Mitmel juhul on sihtmärkideks valitud Euroopa ja USA ametiasutused[2] ning mitmed riikidega seostatavad küberrühmitused on üritanud seda ära kasutada[3][4]. Ründekatseid on märganud näiteks ka Ukraina CERT[5][6]. Samuti üritatakse turvanõrkuse abil ohvrite seadmetesse paigaldada Qakboti (Qbot) pahavara[7], mille abil varastatakse kasutajatunnuseid ja meilivestluseid. Suure tõenäosusega jätkatakse turvanõrkuse ärakasutamise katseid ka tulevikus

CERT-EEle ei ole siiani teada ühtegi juhtumit, mille puhul oleks pahalastel õnnestunud Eesti küberruumis seda turvanõrkust kuritarvitada. Siiski juhime tähelepanu sellele, et pahavara käivitamine ei eelda makrode kasutamist ega teatud tingimustel isegi pahaloomulise faili avamist. Microsoft väljastas 14.06.2022 mõjutatud süsteemidele ametliku turvapaiga[8]. Tuletame kasutajatele meelde, et hoolimata erinevatest kaitsemeetmetest, tuleb olla kahtlaste kirjade puhul väga ettevaatlik. Paraku ei suuda viirusetõrjetarkvarad tuvastada kõiki erinevaid pahavarade versioone, mida ründajad kasutavad. Arvestades lisaks, kui laialdaselt Microsoft Office’i tooteid Eestis kasutatakse, kujutab turvanõrkus potentsiaalset ohtu nii tavakasutajatele kui ka erinevatele organisatsioonidele Eestis.

Turvanõrkuse kirjeldus ning kuidas seda ära kasutatakse

Algsete näidiste puhul üritati esmalt alla laadida välisest veebiserverist HTMLi fail. Viide sellele failile asus document.xml.rels nimelises failis, mis kirjeldab manusobjektide (embedded objects)kasutamist dokumendis. Manusobjekte kasutab Office’i tarkvara näiteks Exceli tabelite lisamisel Wordi dokumenti[9]. 

HTMLi faili sisu käivitati omakorda MSDT protokolli URI skeemiga. MSDT protokolli[10] kasutatakse Windowsi operatsioonisüsteemis veateadete edastamiseks Microsofti kasutajatukke. Paraku õnnestub sellega käivitada ka ohvri seadmes pahaloomulisi Powershelli käske.

Mai lõpus avastatud näidise puhul tuvastati, et HTMLi faili oli lisatud rida väljakommenteeritud A tähti[11]. See tundus uurijatele veider, sest kommentaarid ühtegi protsessi ei käivita. Hiljem selgus, et pahavara käivitamiseks olid need tähed siiski hädavajalikud. Nimelt pidi HTML fail olema vähemalt 4096 baiti suur, et Microsofti HTMLi moodul seda töötleks. Kuna pahaloomulised koodiread moodustasid kokku alla 4096 baidi, oli koodi lisaks sisse kirjutatud kommentaaridena ka just needsamad A tähed. Seetõttu sarnaneb Follina turvanõrkus omapäralt haavatavusele CVE-2021-40444, millest on täpsemalt kirjutatud siin.

Viimastel aastatel on palju räägitud makrodest, mida pahaloomulised Microsoft Office’i failid kasutavad pahavara käivitamiseks. Microsoft teatas sel aastal, et blokeerib vaikimisi makrode kasutamise Office’i failide puhul, mis pärinevad internetist [12]. Paraku ei kasuta Follina turvanõrkust kuritarvitav pahavara makrosid, seega ei ole Microsofti kaitsemeetmest siin kasu. Selleks, et pahavara käivituks, peab ohver pahaloomulise Wordi dokumendi avama ja lubama selle redigeerimise.

Ründajal on võimalik pahavara ohvri seadmes käivitada ka selliselt, et ohver ei avagi pahaloomulist dokumenti. Selle jaoks kasutatakse RTF vormingus faili. RTF ehk Rich Text Format on Microsofti loodud vorming, mida suudavad avada paljud erinevad rakendused. Seega kasutatakse seda peamiselt tekstide redigeerimiseks erinevate tekstitöötlustarkvarade vahel. Pahalastel õnnestub RTF faile kuritarvitada aga nii, et pahavara käivitamiseks ei ole ilmtingimata vajalik pahaloomulise dokumendi avamine. Kui kasutajal on Windowsi operatsioonisüsteemis eelvaatepaan (preview pane) lubatud, parsitakse pahaloomulise dokumendi sisu automaatselt ja tema süsteem ongi halvimal juhul kompromiteeritud.

Ühe võimaliku ründe iseloomustus:

1. Kasutaja saab kirja, mille manusesse on lisatud pahaloomuline dokument.
2. Kasutaja laeb selle alla enda lokaalsesse süsteemi.
3. Pahavara käivitamiseks ohvri masinas on kaks võimalust ning see sõltub sellest, kuidas ründaja on asjale lähenenud:
   A) Ohver laadis alla Wordi dokumendi, avab selle ja lubab redigeerimise. Kuna pahavara ei kasuta makrosid, siis käivitatakse see juba redigeerimise lubamisel (vt Pilt1, Pilt2).
   B) Ohver laadis alla pahaloomulise RTF faili. Ta liigub süsteemis faili allalaadimiskausta ja teeb faili aktiivseks. Selle tagajärjel käivitub pahavara, kui kasutatakse eelvaatepaani (preview pane)[13].

Pilt 1. Pahaloomuline Wordi dokument avaneb kaitstud vaates. Redigeerimise lubamisel käivitatakse pahavara.

Pilt 2. Pärast redigeerimise lubamist kuvatakse testkeskkonnas teade, et kasutaja süsteem on kompromiteeritud.

Kõik oleneb muidugi ka süsteemile rakendatud kaitsemeetmetest – kas viirusetõrjetarkvaral õnnestub pahaloomuline fail kahjutuks teha, kas süsteemiga seotud tulemüür suudab ohtu tõrjuda jne. Testimise käigus tuli meil näiteks Windows 10 operatsioonisüsteemi viirusetõrjetarkvara välja lülitada, kuna pahaloomulise koodi käivitamine ei olnud muul viisil võimalik. See aga ei tähenda, et viirusetõrjetarkvara suudab igal korral ohte tõrjuda – ründajad on leidlikud ja leiutavad pidevalt uusi versioone pahavaradest, et viirusetõrjetarkvarad neid ei tuvastaks.

Soovitused

1. Rakendage esimesel võimalusel väljastatud turvapaik mõjutatud süsteemidele[14]. Kui süsteemides on automaatne uuendamine lubatud, ei pea turvapaika manuaalselt installeerima.
2. Kui teie organisatsioon on veendunud, et RTF failid ei ole teile vajalikud, soovitame meilifiltrite abil sellised kirjad blokeerida, mille manusesse on RTF failid lisatud.
3. Microsoft on avalikustanud alternatiivse vastumeetme[15], millega enda süsteeme selle turvanõrkuse eest kaitsta. Soovitame sellega tutvuda, hinnata rakendamise võimalikkust ja võimalusel seda kasutada, kui turvapaiga rakendamine ei ole võimalik.
4. Koolitada enda organisatsiooni töötajaid mitte salvestama ega avama kahtlaste kirjade manuseid, vaid need kustutama või suunama sellised kirjad infoturbeosakonda. Kui selline võimalus puudub, aitab CERT-EE alati kahtlaste kirjade analüüsimisega. 

Kuidas sai turvanõrkus endale Follina nime?

Rahvusvahelises kogukonnas tuntakse nõrkust ka nimega „Follina“. Sellise nimetuse andis haavatavusele üks esimesi turvanõrkuse analüüsijaid. Ta märkas, et pahaloomulise Wordi dokumendi nimetuses olid numbrid 0438. Kuna seda numbrikombinatsiooni kasutab suunakoodina Follina-nimeline piirkond Itaalias, andiski ta turvanõrkusele just taolise nime[16]. Sel hetkel puudus turvanõrkusel CVE tähis, seega kinnistus selline nimetus mitteametlikult paljude uurijate ja teemast huvitunute seas.

Joonealused viited

[1] https://www.bleepingcomputer.com/news/security/microsoft-patches-actively-exploited-follina-windows-zero-day/

[2] https://www.bleepingcomputer.com/news/security/windows-zero-day-exploited-in-us-local-govt-phishing-attacks/

[3] https://threatpost.com/follina-exploited-by-state-sponsored-hackers/179890/

[4] https://www.bleepingcomputer.com/news/security/windows-msdt-zero-day-now-exploited-by-chinese-apt-hackers/

[5] https://cert.gov.ua/article/40559

[6] https://cert.gov.ua/article/160530

[7] https://isc.sans.edu/forums/diary/TA570+Qakbot+Qbot+tries+CVE202230190+Follina+exploit+msmsdt/28728/

[8] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190

[9] https://billdemirkapi.me/unpacking-cve-2021-40444-microsoft-office-rce/

[10] https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/msdt

[11] https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug

[12] https://docs.microsoft.com/en-us/deployoffice/security/internet-macros-blocked

[13] https://isc.sans.edu/forums/diary/Quickie+Follina+RTF+Explorer+Preview+Pane/28734/

[14] https://www.bleepingcomputer.com/news/security/microsoft-patches-actively-exploited-follina-windows-zero-day/

[15] https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

[16] https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

RIA analüüsi- ja ennetusosakond ning CERT-EE

09. juuni 2022

Mida pahaloomuliste e-kirjade puhul tähele panna ja kuidas käituda?

Meiliteenuse kui ründevektori ärakasutamine on ründajate seas juba pikka aega väga populaarne. Populaarsuse taga peituvad mitmed asjaolud – väga madal kulu ründajale, meetodi lihtsus ja paraku ka piisavalt suur ohvriks langenute arv. Piisab vaid ühest veenvast e-kirjast, mis palub minna andmeid õngitsevale lehele või pahavara sisaldava manuse avamisest, et ründaja enda esmased eesmärgid täidaks. Eesmärkideks on tavaliselt andmete varastamine, kompromiteeritud kontodelt uute pahaloomuliste kirjade saatmine või süsteemide kompromiteerimine, alustades esmalt ohvri seadmest.

Iganädalaselt, igakuiselt, kvartaalselt kui ka iga-aastaselt kirjeldab RIA levinumaid trende Eesti küberruumis, mis põhinevad CERT-EE kogutud andmetel. Statistikast järeldub üldjuhul ülal nenditud fakt, et meiliteenusega seotud ründed on ühed levinumad ka Eesti suunal.

Lühikirjeldused erinevatest ründetaktikatest

Nagu jalgpallis ei kasutata eesmärkide saavutamiseks ainult ühte ründetaktikat, ei kasutata ainult ühte ründetaktikat ka pahaloomuliste e-kirjade puhul. Järgnevalt kirjeldame lühidalt erinevaid aspekte, mida pahaloomuliste e-kirjade puhul kohtab:

Inimest huvitava info ärakasutamine – Saatja on kirja sisu põiminud mõne saajat puudutava teemaga – näiteks võib keskkonnavaldkonnas töötav inimene saada näiliselt kutse konverentsile, kus arutatakse rohepöördega seotud teemasid (näiline kutse kirja manuses sisaldab pahavara või palutakse sisestada andmed õngitsuslehele, et konverentsile registreerida) või võib näiteks tervishoiusektoris töötav inimene saada näiliselt COVID-19 viiruse levikuga seotud kirja. Ründajad võivad kasutada suunatud lähenemist, kui inimese kohta on võimalik avalikult kätte saada erinevat informatsiooni, mida saab omakorda usalduse tekitamiseks ära kasutada.

Saatja nime võltsimine – See on üks levinumaid tunnusmärke pahaloomuliste kirjade puhul. Kirja saajas üritatakse tekitada usaldust, võltsides kirja saatja nime. Nimena kasutatakse kirja saajale tuttavat inimest (nt asutuse teine töötaja). Kuna mõned meilirakendused ei kuva automaatselt saatja meiliaadressi, vaid ainult nime, on selle võltsimine ka üsna populaarne.

Lekkinud meilivestluste kasutamine – Ühe ründetaktikana kasutatakse ka eelnevalt lekkinud meilivestluseid. Tavaliselt on ühe meilivestluses osalenu seade mingil ajahetkel nakatunud pahavaraga, mille abil kirjavahetus kätte saadakse. Vestlusele saadetakse aja möödudes (ajavahemik varieerub, kuid sageli on see tavatult pikk) vastus vestlusega mitteseotud meiliaadressilt (võltsides sealjuures saatja nime). Kirjas palutakse sageli avada kirjaga kaasa pandud manus, mis aga sisaldab pahavara. Pahavara abil varastatakse siis omakorda uue ohvri postkasti sisu, mida hiljem järgmiste ohvrite saamiseks ära kasutatakse, sh rahalise kasu eesmärgil.

Kompromiteeritud kontolt teiste ohvrite püüdmine – Kui näiteks organisatsioonis on ühe töötaja meilikonto kompromiteeritud, siis üritatakse selle konto abil sageli ka organisatsiooni sees teisi ohvreid püüda. Kuna legitiimse töötaja meilikontolt saadetud kiri tekitab saajas pea alati usaldust, on see ka üks mõjusamaid viise, kuidas meilikontosid püüda.

Nõuanded

• Ära ava tundmatuid kirju, linke ja manuseid. Kui su tuttav või töökaaslane saadab tavapärasest erineva suhtlusviisi ja/või tekstiga lingi või manuse, küsi temalt alati üle alternatiivsete suhtluskanalite kaudu, millega on tegu.
• Märka saadud kirjade puhul ebakõlasid – kohati veider lausete ülesehitus, grammatikavead jm. Kuigi masintõlge, mida ründajad kasutavad, areneb pidevalt, on võimalik siiski selle kasutust kirjastiili põhjal ära tunda.
• Veendu, et meilidomeen, millelt kiri saadeti, on täht-tähelt sama, mis organisatsioonil peaks olema (nt google.com vs g00gle.com).
• Kui kahtled kirja kavatsustes, tuleks see kindlasti edastada analüüsimiseks asutuse infoturbeosakonda. Samuti saab CERT-EE vajadusel aidata kahtlase sisuga kirjade analüüsiga. Selleks tuleks kiri saata aadressile cert@cert.ee.
• Ära usu ähvardavaid ja kiiret tegutsemist nõudvaid kirju tundmatutelt saatjatelt, kellest sa pole kunagi varem kuulnud või kellega sul pole kunagi tegemist olnud.
• Ole IT-vaatlik!