Category Archives: Windows

Olulised turvanõrkused 2023. aasta 10. nädalal

Avalikustati Microsoft Wordi kriitilise turvavea kontseptsiooni tõendus

Microsoft parandas veebruari turvauuendustega Microsoft Wordi kriitilise turvavea tähisega CVE-2023-21716. Turvaviga on seotud wwlib.dll failiga ja võimaldab koodi kaugkäivitamist. Haavatavusel on ka väga kõrge kriitilisuse skoor (9.8/10), kuna seda ei ole keeruline ära kasutada ja selle jaoks ei ole vaja kõrgendatud õiguseid. Ründaja saab turvanõrkust ära kasutada pahaloomuliste RTF failide abil.

Nüüd on turvanõrkusele avalikult kättesaadav ka proof-of-concept (PoC) ehk kontseptsiooni tõendus. Microsofti hinnangul on haavatavuse kuritarvitamine hetkel siiski vähetõenäoline, kuid sellised kontseptsiooni tõendused muudavad pahaloomuliste failide loomise, mis turvanõrkust ära suudavad kasutada, kindlasti lihtsamaks (BC, Microsoft).

Kes ja mida peaks tegema?

Microsofton turvanõrkuse jaoks avalikustanud turvaparanduse ja samuti mõned alternatiivmeetmed, kui turvaparanduse rakendamine ei ole võimalik. Rohkem infot leiate Microsofti veebilehelt. Soovitame kindlasti turvaparanduse rakendamist.

Fortinet hoiatab uue kriitilise haavatavuse eest

FortiOS-i ja FortiProxy haldusliidese haavatavus CVE-2023-25610 (9.3/10.0) võib lubada ründajal käivitada haavatavas seadmes autentimata suvalist koodi ja/või teostada teenusetõkestusrünnak spetsiaalselt selleks loodud päringute kaudu. Fortinetile teadaolevalt ei ole seda haavatavust veel ära kasutatud (Fortinet).

Kes ja mida peaks tegema?

Haavatavus mõjutab järgnevaid FortiOSi ja FortiProxy versioone:

FortiOSi versioonid 7.2.0-7.2.3;
FortiOSi versioonid 7.0.0-7.0.9;
FortiOSi versioonid 6.4.0-6.4.11;
FortiOSi versioonid 6.2.0-6.2.12;
kõik FortiOSi 6.0 versioonid;
FortiProxy versioonid 7.2.0-7.2.2;
FortiProxy versioonid 7.0.0-7.0.8;
FortiProxy versioonid 2.0.0-2.0.11;
kõik FortiProxy 1.2 versioonid;
kõik FortiProxy 1.1 versioonid.

Fortinet on haavatavuse turvauuendustega parandanud. Rohkem infot versioonide kohta, milles on haavatavus parandatud, leiate siit.

Kui te kasutate ülal mainitud haavatavate versioonidega Fortineti tarkvarasid, rakendage turvauuendused esimesel võimalusel.

Androidi seadmetes paigati kaks kriitilist koodi kaugkäitust võimaldavat turvanõrkust

Google avalikustas 6. märtsil, et selle kuu turvauuendustega parandatakse Androidi operatsioonisüsteemides mitukümmend turvaviga.

Nende seas on ka kaks koodi kaugkäitust võimaldavat turvanõrkust (CVE-2023-20951, CVE-2023-20954), mis on hinnatud kriitiliseks. Nende turvanõrkuste ärakasutamiseks pole vaja mitte mingit kasutajapoolset tegevust (nt linkidele klõpsamist, pahaloomuliste failide avamist vms).

Selliste tõsiste turvanõrkuste abil on ründajatel potentsiaalselt võimalik käivitada haavatavates seadmetes pahavara ja saada teatud tingimustel kontroll kogu seadme üle. Google ei ole turvanõrkuste kohta täpsemaid detaile jaganud.

Lisaks kahele kriitilisele turvanõrkusele paigati märtsi turvauuendustega veel mitukümmend madalama kriitilise tasemega nõrkust (BP, Android).

Kes ja mida peaks tegema?

Turvauuendusi pakutakse Androidi operatsioonisüsteemi versioonidele 11, 12 ja 13. Kui teie Androidi seade kasutab versiooni 10 või vanemat, siis sellele turvauuendusi enam ei pakuta, kuna vastavate versioonide tootjapoolne tugi on lõppenud. Selline seade tuleks võimalikult kiiresti uuema vastu vahetada!

Kui sinu Androidi operatsioonisüsteemi kasutav nutitelefon või tahvelarvuti pakub turvauuendusi, rakenda need palun esimesel võimalusel!

NB! Seadmete regulaarne uuendamine on üks küberhügieeni alustalasid. Kutsume kõiki üles suhtuma oma seadmetes pakutavatesse uuendustesse tõsiselt ning neid alati rakendama.

Jenkinsi tarkvara mõjutavad koodi kaugkäitust võimaldavad nõrkused

Jenkins on avatud lähtekoodiga tarkvara, mida kasutatakse tarkvaraarenduses. Jenkins Server and Update Center keskkonnas, mille abil saab Jenkinsile alla laadida erinevaid pistikprogramme, avastati kaks haavatavust, mida nimetatakse koondnimetusega CorePlague. Haavatavused on seotud sellega, kuidas keskkond pistikprogramme töötleb. Kui ründaja pahaloomulise pistikprogrammi Jenkinsi Update Center keskkonda ülesse laeb ja ohver pistikprogrammide jaoks mõeldud halduskeskkonna avab, on võimalik teostada XSS (Cross Site Scripting) rünne. Eduka ärakasutamise korral võimaldavad haavatavused autentimata ründajal käivitada suvalist koodi ohvri Jenkinsi serveris, mille abil on tal võimalik server täielikult üle võtta (Aquasec).

Kes ja mida peaks tegema?

Haavatavad on Jenkinsi serverid versiooniga 2.270 kuni 2.393 (kaasaarvatud) ja LTS 2.277.1 kuni 2.375.3 (kaasaarvatud). Haavatavad on ka Jenkinsi Update Center versioonid 3.15 ja vanemad. Haavatavate tarkvarade kasutamise korral uuendage need esimesel võimalusel.  Rohkem infot leiate Jenkinsi kodulehelt.

Joomla sisuhaldustarkvara turvanõrkust kuritarvitatakse üha aktiivsemalt

Kolm nädalat tagasi parandati Joomla sisuhaldustarkvaral, mida paljud veebilehed kasutavad, turvanõrkus, mis lubas ründajal ligi pääseda kasutajatunnuseid sisaldavale andmebaasile lihtsa päringu abil. Kuna haavatavuse ärakasutamine on suhteliselt kerge, on selle populaarsus ründajate seas ajas kasvanud (SANS).

Kes ja mida peaks tegema?

Haavatavad on Joomla tarkvara versioonid 4.0.0 kuni 4.2.7 (kaasaarvatud). Turvanõrkus on parandatud alates versioonist 4.2.8. Kui te haavatava versiooniga Joomla tarkvara kasutate, uuendage see esimesel võimalusel vähemalt versioonini 4.2.8. Sellisel juhul turvanõrkus teile ohtu ei kujuta (NSFOCUS).

Chrome’i uues versioonis on parandatud 40 turvanõrkust

Google avalikustas eelmisel nädalal Chrome’i uue -versiooni tähisega 111, milles on paigatud 40 turvanõrkust. 40-st nõrkusest kaheksa on kõrge mõjuga, 11 keskmise mõjuga ja viis madala mõjuga (SW, Google).

Kes ja mida peaks tegema?

Windowsile on uus versioon saadaval tähisega 111.0.5563.64/.65, Linuxile ja macOSile aga tähisega 111.0.5563.64. Soovitame kõikidel Chrome’i kasutajatel rakendada uus versioon esimesel võimalusel. Juhised, kuidas Chrome’i uuendada, leiate siit.


RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2022. aasta 48. nädalal

Lahtine tabalukk

Java raamistikus Quarkus avastati kriitiline turvaviga

Quarkus on avatud lähtekoodiga Java raamistik, mis on mõeldud Java virtuaalmasinate jaoks. Haavatavust CVE-2022-4116 on hinnatud kriitilisuse skooriga 9.8/10.0 ja selle abil on ründajal võimalik potentsiaalselt käivitada pahaloomulist koodi masinas, milles jookseb Quarkuse Dev UI. Selleks peab ohver külastama veebilehte, mis sisaldab pahaloomulist JavaScripti koodi. Sellest tulenevalt võivad ründajad ühe ründevektorina saata Quarkust kasutavatele arendajatele veebilingi, millel klikkides suunatakse ohver pahaloomulist Javascripti sisaldavale veebilehele. Ründe tagajärjel on ründajal potentsiaalselt võimalik masinasse paigaldada muuhulgas näiteks nuhkvara, mis kasutaja(te) klahvivajutusi salvestab (SW, Quarkus).

Kes ja mida peaks tegema?

Selleks, et turvanõrkust ei oleks võimalik ära kasutada, tuleb arendajatel ja/või teenuseomanikel, kelle rakendused/teenused kasutavad Quarkuse raamistiku, veenduda, et kasutatakse Quarkuse versiooni 2.14.2 Final või 2.13.5 Final. Sellisel juhul haavatavus ohtu ei kujuta. Kui uuendamine ei ole võimalik, siis on Quarkus kirjutanud siin ka täpsemalt ühest alternatiivsest vastumeetmest, mida saab sellisel juhul kasutada.

Google paikas ühe Chrome’i nullpäeva turvanõrkuse

Google paikas Chrome’il selle aasta üheksanda nullpäeva turvanõrkuse, mille abil oli ründajal võimalik potentsiaalselt käivitada pahaloomulist koodi ohvri masinas. CVE-2022-4262 jaoks on Google’i hinnangul olemas ka eksploit. Ettevõte ei ole turvavea kohta jaganud täpsemaid detaile, et vähendada selle kuritarvitamist (Google).

Kes ja mida peaks tegema?

Kui te kasutate Chrome’i veebilehitsejat, uuendage see esimesel võimalusel. Chrome peaks uuendused rakendama automaatselt. Kui automaatne uuendamine ei ole lubatud, saate parandusega tarkvaraversiooni rakendada ka manuaalselt. Juhised, kuidas seda  teha, leiate siit.

NVIDIA paikas turvanõrkused videokaartide draiverites

Ettevõte paikas 29 turvanõrkust, mis olid seotud Windowsi ja Linuxi GPU draiveritega (BP, NVIDIA). Seitse turvanõrkust hinnati kõrge kriitilisuse tasemega. Kaks kõige kriitilisemat nõrkust on järgnevad:

CVE-2022-34669 (8.8/10.0) – Haavatavus võimaldab koodi kaugkäitust, õiguste suurendamist, informatsioonile ligipääsemist ja teenusekatkestusi. Turvanõrkust on võimalik lokaalselt kuritarvitada. CVE-2022-34669 võib pakkuda ründajatele viise, kuidas pahavara kõrgema taseme õigustes käivitada, sest üldjuhul kasutavad videokaardi draiverid operatsioonisüsteemis kõrgendatud õiguseid. Seetõttu võib see potentsiaalselt kujutada suurt ohtu mõjutatud süsteemidele.

CVE-2022-34671 (8.5/10.0) – Haavatavus võimaldab sooritada koodi kaugkäitust, üritada süsteemis õigusi suurendada õiguste, ligi pääseda informatsioonile, millele ei peaks ligi pääsema või viia süsteem olukorrani, kus see ei tööta. Turvanõrkust on võimalik ründajal kaugelt kuritarvitada. Haavatavuse kriitilisuse skoor on võrreldes CVE-2022-34669 turvaveaga hinnatud madalamaks, kuna seda on keerulisem edukalt ära kasutada.

Kes ja mida peaks tegema?

Kui te kasutate NVIDIA graafikakaarte, soovitame tutvuda ettevõtte veebilehega siin ja veenduda, et te ei ole turvanõrkuste vastu haavatav. Samalt veebilehelt leiate ka juhised, kuidas mõjutatud draiverid uuendada.

Turvanõrkus võimaldas avada mitmete autode uksi ja neid käivitada

Kübereksperdid avastasid SiriusXM-nimelisest tarkvarast turvanõrkuse, mille abil oli neil võimalik häkkida erinevate autotootjate mudeleid, mis vastavat tarkvara kasutasid. Täpsemalt leidsid nad, et turvanõrkuse abil oli neil võimalik erinevate autode puhul, mis olid toodetud peale 2015. aastat ja mis haavatavat tarkvara kasutasid, muuhulgas lukustada/avada uksi või käivitada auto, teades ainult auto VIN-koodi. Leid illustreerib seda, kuidas autode sõltuvus erinevatest tarkvaralahendustest võib muuta need üha ihaldusväärsemateks sihtmärkideks ründajatele. Turvanõrkus parandati tarkvaratootja sõnul kiiresti ja ühtegi reaalset intsidenti nende sõnul ei toimunud (BP).

RIA analüüsi- ja ennetusosakond