Tag Archives: Apple

Ülevaade olulistest turvanõrkustest ajavahemikul 12.-19. september 2022

RIA analüüsi- ja ennetusosakond võttis kokku viimase nädala olulisemad turvanõrkusesed ning lisas iga nõrkuse juurde tähelepanekud ja soovitused.

Apple paikas mitu turvanõrkust, sealhulgas erinevaid seadmeid mõjutava nullpäeva turvanõrkuse

Apple teatas hiljuti mitmest turvanõrkusest enda toodetes, mille likvideerimiseks väljastas 12. septembril uued tarkvarade versioonid. Eriti paistab silma turvanõrkus nimetusega CVE-2022-32917, mis mõjutab nii iPhone´i, iPadi  kui ka macOSi kasutavaid seadmeid ning väidetavalt on Apple’ile teada, et seda turvanõrkust võidi üritada aktiivselt ära kasutada. (Apple, RIA).

CVE-2022-32917-nimelise turvanõrkuse abil on ründajal võimalik teoreetiliselt pääseda kasutaja seadmesse ja seal siis pahandust korda saata – näiteks on ründajal võimalik potentsiaalselt kasutada seadme kaamerat, sisse lülitada seadme mikrofon, teha kuvatõmmiseid jms.

Kes ja mida peaks tegema?

Apple pakub iPhone’idele kahte versiooni, kus turvanõrkus on parandatud: iOS 16 ja iOS 15.7.

iPadide puhul tuleks rakendada iPadOS 15.7 ning macOSi kasutavate seadmete puhul on see paigatud nii versioonis macOS Big Sur 11.7 kui ka macOS Monterey 12.6. Kui sinu Apple’i telefon, tahvelarvuti või arvuti on andnud märku nende versioonide rakendamise võimalikkusest, siis palun tee seda esimesel võimalusel!

Kirjeldatud nõrkuse parandamiseks on uuendused iOS 15.7 või iPadOS 15.7 kättesaadavad järgmistele mudelitele:

iPhone 6s ja uuemad;
iPad Pro (kõik mudelid):
iPad Air 2 ja uuemad;
iPad viies generatsioon ja uuem;
iPad mini 4 ja uuem;
iPod touch (seitsmes generatsioon)

iOS 16 saab rakendada järgmistele mudelitele:
iPhone 8 või uuem

Microsoft paikas septembri uuendustega 63 turvanõrkust

Microsoft paikas septembri uuendustega enda toodetes 63 haavatavust, sealhulgas aktiivselt ära kasutatud Windowsi nullpäeva turvanõrkuse ning viis kriitilist haavatavasust, mis võimaldavad koodi kaugkäivitust. Tutvu Microsofti ametlike juhistega siin ja vajadusel paika tarkvara.

Turvanõrkused mõjutavad järgmisi tooteid:

Microsoft Windowsi
Azure
Azure Arc
.NET-I
Visual Studio
Microsoft Edge (Chromium)
Office
Windows Defender

Aktiivselt ärakasutatud nullpäeva turvanõrkus CVE-2022-37969 mõjutab Windowsi operatsioonisüsteemi Log File System Driver komponenti. Eduka ärakasutamise korral on võimalik ründajatel omandada haavatavas süsteemis kõrgendatud tasemel (SYSTEM) õigused. Turvanõrkuse ärakasutamiseks peab neil olema sihtmärgiks valitud süsteemi siiski juba ligipääs ja samuti võimalus käivitada seal koodi.

Lisaks eelnevale haavatavusele juhitakse veel tähelepanu viiele kriitilisele turvanõrkusele, mille abil on võimalik ründajatel teostada mõjutatud süsteemis koodi kaugkäivitust. Esimest neist kutsustakse nimetusega CVE-2022-34718 (9.8/10.0) ja see mõjutab nii Windows Serveri kui ka Windowsi OSi erinevaid versioone. Turvanõrkus võimaldab ründajale koodi kaugkäivitust juhul, kui ta saadab spetsiaalse IPv6 paketi haavatava süsteemi suunas, millel on IPSec lubatud. Süsteemid, millel on IPv6 keelatud, ei ole haavatavad. Microsoft hindab turvanõrkuse ärakasutamise katsete tõenäosust pigem võimalikuks.

Samuti on koodi kaugkäivitamisega seotud turvanõrkused CVE-2022-34721 (9.8/10.0) ja CVE-2022-34722 (9.8/10.0). Haavatavused peituvad Windows Internet Key Exchange protokollis ja neid on võimalik ründajal ära kasutada, kui ta saadab mõjutatud süsteemide suunas spetsiaalse IP paketi. Microsoft hindab nende turvanõrkuste ärakasutamise katsete tõenäosust pigem tagasihoidlikumaks.

Viimased kaks kriitilist turvanõrkust CVE-2022-35805 (8.8/10.0) ja CVE-2022-34700 (8.8/10.0) mõjutavad lokaalseidMicrosoft Dynamics 365 installatsioone. Antud turvanõrkuste abiga on audentitud kasutajatel võimalik käivitada SQL-käske. Nad võivad ka üritada enda õigusi suurendada ja käivitada suvalisi SQL-käske andmebaasi omaniku õigustes.

Kuidas edasi käituda?

Lisaks siin põhjalikumalt välja toodud turvanõrkustele paikas Microsoft veel teisigi haavatavusi enda erinevates toodetes. Soovitame tutvuda Microsofti ametlike juhistega siin ja rakendada vajadusel vajalikud turvapaigad mõjutatud tarkvaradele.

Adobe parandas mitu turvanõrkust enda erinevates toodetes

Adobe parandas 63 turvanõrkust, mõjutatud on nii Windowsi kui Maci arvutite jaoks mõeldud tarkvarad nagu Adobe Bridge, InDesign, Photoshop, InCopy, Animage ja Illustrator (SW).

Adobe Bridge: Parandati nii kriitilisi (7.8/10.0) kui olulise (5.5/10.0) tasemega turvanõrkuseid. Eduka ärakasutamise korral on nende abil võimalik käivitada suvalist koodi ja on oht mälulekkele (memory leak).

Adobe InDesign: Tarkvara uuendatud versioon parandas mitmeid kriitilise (7.8/10.0; 7.5/10.0) või olulise (5.5/10.0) tasemega haavatavusi. Eduka ärakasutamise korral on võimalik nende abil käivitada suvalist koodi, lugeda failisüsteemi ja on oht mälulekkele (memory leak).

Adobe Photoshop: Tarkvara uuendatud versioon parandas mitmeid kriitilisi (7.8/10.0) või olulise tasemega (5.5/10.0) haavatavusi. Eduka ärakasutamise korral on võimalik nende abil käivitada suvalist koodi ja on oht mälulekkele (memory leak). Mõjutatud tarkvarade seas on Photoshop 2021 ja 2022 versioonid Windowsile ning macOSile.

Adobe InCopy: Turvanõrkuste eduka ärakasutamise korral on võimalik käivitada suvalist koodi ja on oht mälulekkele (memory leak). Tootja parandas nii kriitilise (7.8/10.0) kui olulise (5.5/10.0) tasemega turvanõrkuseid.

Adobe Animate: Parandati kaks kriitilist turvanõrkust (7.8/10.0), mille abil on võimalik ründajal käivitada kasutajana suvalist koodi.

Adobe Illustrator: Väljastati turvapaigad ühele kriitilisele (7.8/10.0) ja kahele olulise (5.5/10.0) tasemega turvanõrkusele, mille eduka ärakasutamise korral on võimalik ründajal käivitada süsteemis suvalist koodi või on oht mälulekkele (memory leak).

Tootjal puudub info selle kohta, et nende turvanõrkuste ärakasutamiseks oleks õnnestunud luua rakendatavat pahaloomulist programmi.

Kuidas edasi käituda?

Kui kasutate mõjutatud tooteid, soovitame tutvuda ametlike juhistega tootja kodulehel (millele on ka siin erinevate toodete puhul viidatud) ja uuendada mõjutatud tarkvara kõige uuemale versioonile.

Kriitiline WordPressi turvanõrkus ohustab maailmas ligi 300 000 veebilehekülge

Nullpäeva turvanõrkus tähistusega CVE-2022-3180 (9.8/10.0) ohustab WordPressi lehti, mis kasutavad WPGateway-nimelist laiendust. Turvanõrkuse abiga on võimalik autentimata ründajal lisada lehele uusi administraatori õigustega kasutajaid. Loodud kasutaja/kasutajate abil on ründajal võimalik leht täiesti üle võtta ja lisada lehele näiteks pahavara. (WF, HN).

NB! Mõned seni avaldatud näpunäited, kuidas ära tunda, et leht on selle turvanõrkuse abiga kompromiteeritud või lehte on üritatud sellega rünnata:

  1. Kui lisatud on pahaloomuline administraatori õigustega kasutaja nimega rangex, on teie leht suure tõenäosusega kompromiteeritud.
  2. Kui leiate lehe access logist järgneva päringu //wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1 tähendab see, et teie lehte on üritatud rünnata, kuid see ei viita ilmtingimata sellele, et see on ka õnnestunud.

Kuidas edasi käituda?

Kui kasutate WordPressi lehel WPGateway-nimelist laiendust, soovitame selle seniks eemaldada, kuni turvapaik on avaldatud ning siis see pärast avaldamist rakendada. Kui arvate, et teie leht on kompromiteeritud, teavitage sellest CERT-EE-d meiliaadressile cert@cert.ee.

Me kõik jääme vanaks

analüütik Anto Veldre

Microsoft_Windows_XP

Mida küll võiks tähendada asjaolu, et eesti.ee külastajatest 56% kasutab operatsioonisüsteemi Windows 7, mille “peavoolu” tugi lõpetati juba jaanuaris 2015? Aga eks ikka seda, et põhjusel või teisel on eesti inimene üritanud läbi ajada nii vana arvutiga, kui veel parasjagu võimalikuks osutub.

Ideaalses maailmas tarvitseb vaid jalgrattatöökotta helistada ning nad on kohe valmis 1885. aasta mudelit teenindama. Vähem ideaalses (ehk siis tegelikus) maailmas on tagavaraosad sellele mudelile ammu otsa saanud, rataste mõõdud osutuvad mittestandardseks ning peale kollektsionääride keegi nii vana rattaga tegeleda ei taha.

Majandusseadused kehtivad igal ajal ühtemoodi. Et saada suurimat tulu, tuleb toodete nomenklatuur hoida mõõdukas ja tagavaraosade laovarud väikesed. Lisaks, kui mehhaanik asuks õppima kõigi rataste remontimist alates aastast 1869, siis selle peale kuluks kogu tema aeg ning töökotta remontima ta kunagi ei jõuakski.

Paralleelid arvutimaailmaga on ilmsed. Tegelikult on IT-maailmas asi veelgi hullem. Tehnoloogia on oluliselt keerukam. Vahel tuleb välja vahetada terve tehnoloogiapõlvkond. Näiteks Windows 3.11 kadus seetõttu, et failinime pikkuseks sai olla kõigest 8 märki.

Arvuteid kuuris toota ei saa (enam), tegemist on väga kalli tööstusharuga, kus tuleb oma investeeringud ja kulud tagasi teha. Terve kimbu “ehkudega” saab ju Windows XP’d edasi pruukida, kuid see muutub üha ohtlikumaks. Ühel hetkel laseb kodune ruuter läbi mõne rünnaku, mida relikt-toode või kodaniku andmed üle ei ela. Kas see hetk on täna, tuleb homme või oli ära juba eile? Windows XP oli Microsofti kõige pikaealisem operatsioonisüsteem, kuid võta või jäta: selle tugi sai läbi, uuemad tooted on peale tulnud ning … nojah. Ärge siis vaest Microsofti ka väga kiruge, nad ei saa oma kontorit kinni panna XP surma oodates ja ülejäänud maailma eirates.

Tegelikult on võtmeküsimus hoopis selles, kas “uut” XP plaati saab installida igavesti? Vastus on: ei, kindlasti mitte. Ühel päikesepaistelisel päeval lülitab Microsoft oma seerianumbriserverid välja ja sellest hetkest alates ei õnnestu XP’d isegi enam installida mitte. Üllatus?

Üllatust ei tohiks olla. Kui jalgratas on ese, siis seda ka remonditakse nagu eset. Arvutiprogramm reeglina ei ole ese, arvutiprogramm moodustub bitikombinatsioonist ja sellega kaasnevast teenusest. Teenuse ülalpidamine aga maksab raha – serverid võtavad ju voolu ja itimees küsib ka palka. Bitikombinatsioon ehk jääbki, aga kui ikka teenust enam pole, siis enamik kaasaegseid arvutiprogramme, näiteks need, mis asuvad meie nutiseadmetes, lõpetavad töö.

Sestap oleks inimestel vaja pisitasa harjuda uue majandusmudeliga, kus teenuse osakaal järjest kasvab. Juba räägitakse ääri-veeri, et Windows 10 saab olema viimane Windows. Pärast seda programm kui säärane kaob ja jääbki vaid teenus kusagil pilves.

Jutu algusse naastes, täna pruugib Eesti internetikasutajatest 10% endiselt Windows XP’d. See number langeb ja siin oleme kenasti maailma tasemel. Hoopis hull on aga lugu Windows 7’ga – nagu eespool öeldud, kõigist eesti.ee pruukimisjuhtudest moodustab Win7 suisa 56%. Microsoft ei väljasta Win7-le enam uuendusi ega põhimõttelisi parandusi, selle operatsioonisüsteemi müük on lõpetatud.

Mida teevad konkurendid?

Apple hoiab korraga toes vaid kaht, maksimaalselt kolme versiooni. Täna on nendeks:

  • OS X 10.8 “Mountain Lion”,
  • OS X 10.9 “Mavericks”,
  • OS X 10.10 “Yosemite”.

Linuxeid on väga mitut tõugu, kõige levinum neist on Ubuntu ja nemad on asja lahendanud lihtsalt – igal ajahetkel peetakse vaid üht pika perioodiga toodet (Ubuntu 14.04LTS), teisi tuleks uuendada.

Millised peaksid olema riigi valikud ning kuhu paisata ID-kaardi ökosüsteemi uuendamiseks ette nähtud maksuraha? Kas eirata reaalsust ja toetada muldvanu tooteid? Või panustada üksnes neisse toodetesse, mis kestavad veel mitmeid aastaid? Need on otsused, mida tarkvara eest vastutajatel paratamatult tuleb teha. Majanduslik reaalsus ei lase idealistlikel imedel paraku sündida, piirates saadaoleva toe vaid iga toote kõige uuemate versioonidega. Kord ammu ütles püha Fransiscus, et “Jumal, anna mulle meelerahu mitte muretseda asjade eest, mida ma muuta ei saa, julgust muuta asju, mida ma muuta suudan, ja tarkust nende kahe vahel vahet teha”.

Võitlus IT-firmade toote- ja toemudeliga vist viiks meelerahu. Kuid võimalik on muuta iseenda käitumist – hoides oma arvutis kõik tarkvaraversioonid kas viimase peal või vähemasti vastavuses toetatud asjade nimistuga. Kui tekib oht toevööndist väljalangemiseks, tuleb julgus kokku võtta ja teha mõni tark otsus: kas muretseda uuem tarkvara või teenus (ja paratamatult võib neist mõne eeltingimus olla kallim rauatükk) või tuleb hoopis juurde õppida mõni keerulisem käitumismall (nagu Linux või nagu oma andmete loovutamine Google’ile), mis võimaldaks edaspidi odavamalt läbi ajada.

Punasest toejoonest allapoole jäämist ei soovita täna kellelegi – vana kronu seljas ratsutades kulub väärtuslik aeg tagajärgedega võitlemisele, selmet mõtestatult tegutsedes uusi väärtusi luua.

iPantvangikriis

Tarmo Randel CERT-EEst annab hiljutise Apple’i seadmeid tabanud väljapressimislaine näitel nõu, kuidas tunda õngitsusrünnakut ja mida sellisel puhul ette võtta.

Viimastel nädalatel on meedia ilmutanud uudiseid pantvangi võetud Apple’i seadmetest, kus ‘Oleg Pliss’ nime all esinev küberkurjam Austraalia ja Uus-Meremaa iPhone kasutajatelt 55 naela nõuab seadme vabastamise eest.

Pakutud on välja ka põnevaid teooriaid, kuidas seade on pantvangi sattunud, põhjus on sedapuhku üsnagi triviaalne – pantvangi sattunud on klikkinud veebilingil, mis saabus postkasti õngitsuskirjaga, ning avanenud veebivormile sisestanud enda iKonto andmed. Ka Eesti kasutajatele on Apple kontode õngitsuskirju saadetud – vihjeid selle kohta leiab juba selle aasta algusest – ent saadetud kirju on seni olnud väga vähe.

Küberkriminaalid on kasutaja saadetud andmeid kasutanud konto ülevõtmiseks Apple portaalis ning sealtkaudu lukustanud seadme. Lukustamiseks kasutakse sõnumit, mis pakub “pantvangikriisi” lihtsat lahendadamist mõõduka summa kandmisega härra Plissile.

Raha vahendaja on hetkel küll lubanud kõik maksed arvatavale pantvangistajale kinni pidada, ent varem või hiljem valivad kriminaalid ilmselt sellise rahaliigutamise meetodi, mida on raskem jälitada ja tõkestada.

Õngitsuskiri võib kanda pealkirja “Apple ID expired” ning juhatada läbi mitme vahendaja veebilehele, mis näeb välja üsnagi sarnane Apple’iga seotud veebilehtedega. Üks CERT-EEle saabunud õngituskirja näidistest suunab innsaa.com veebilehe kaudu appcostumers.com veebilehele, millelt avanev leht on äravahetamiseni sarnane itunesconnect.apple.com’iga.

fake_apple

Erinevus pärislehega – õngitsusleht ei kasuta HTTPS meetodit (veebisirvikus ei ole veebiaadressi riba roheline või puudub tabalukk) ning veebiaadress ei ole apple.com’iga mingil moel seotud (lisatud pildil alla joonitud punasega).

Kui oled saanud siin kirjeldatud tunnustega kirja ning sisestanud enda Apple’i konto andmed veebi, mille internetiaadressil ei ole seost apple.com’ga, siis logi sisse Apple’i iseteeninduskeskkonda ning vaheta ära oma parool. Pantvangi võetud seadet aitab vabastada juba Apple’i klienditeenindus, ent see on mõnevõrra pikem ja keerulisem protsess.

Vältimaks konto andmete jõudmist küberpättide kätte soovitatakse Apple’i toodete kasutajatel kasutusele võtta turvalisem autentimisviis. See meetod paraku Eestis veel ei toimi, seega tuleb Eesti kasutajatel tervet talupojamõistust kasutada ning jätta tähelepanuta kirjad, mis meilitsi teavitavad konto aegumisest või andmete muutmisest ning lisavad viite, millel ei tundu mingit seost olevat teenusega.

Kui meilis toodu tundub klikkimiseks ikka väga ahvatlev, siis üks kindlaid viise vältida õngitsejate püünistesse sattumist on tippida teenusepakkuja veebiaadress veebisirviku aadressireale käsitsi, mitte klikkida meilis olevat.

Turvalist suve!

Tarmo Randel
CERT-EE