Tag Archives: Microsoft

Ülevaade olulistest turvanõrkustest ajavahemikul 12.-19. september 2022

RIA analüüsi- ja ennetusosakond võttis kokku viimase nädala olulisemad turvanõrkusesed ning lisas iga nõrkuse juurde tähelepanekud ja soovitused.

Apple paikas mitu turvanõrkust, sealhulgas erinevaid seadmeid mõjutava nullpäeva turvanõrkuse

Apple teatas hiljuti mitmest turvanõrkusest enda toodetes, mille likvideerimiseks väljastas 12. septembril uued tarkvarade versioonid. Eriti paistab silma turvanõrkus nimetusega CVE-2022-32917, mis mõjutab nii iPhone´i, iPadi  kui ka macOSi kasutavaid seadmeid ning väidetavalt on Apple’ile teada, et seda turvanõrkust võidi üritada aktiivselt ära kasutada. (Apple, RIA).

CVE-2022-32917-nimelise turvanõrkuse abil on ründajal võimalik teoreetiliselt pääseda kasutaja seadmesse ja seal siis pahandust korda saata – näiteks on ründajal võimalik potentsiaalselt kasutada seadme kaamerat, sisse lülitada seadme mikrofon, teha kuvatõmmiseid jms.

Kes ja mida peaks tegema?

Apple pakub iPhone’idele kahte versiooni, kus turvanõrkus on parandatud: iOS 16 ja iOS 15.7.

iPadide puhul tuleks rakendada iPadOS 15.7 ning macOSi kasutavate seadmete puhul on see paigatud nii versioonis macOS Big Sur 11.7 kui ka macOS Monterey 12.6. Kui sinu Apple’i telefon, tahvelarvuti või arvuti on andnud märku nende versioonide rakendamise võimalikkusest, siis palun tee seda esimesel võimalusel!

Kirjeldatud nõrkuse parandamiseks on uuendused iOS 15.7 või iPadOS 15.7 kättesaadavad järgmistele mudelitele:

iPhone 6s ja uuemad;
iPad Pro (kõik mudelid):
iPad Air 2 ja uuemad;
iPad viies generatsioon ja uuem;
iPad mini 4 ja uuem;
iPod touch (seitsmes generatsioon)

iOS 16 saab rakendada järgmistele mudelitele:
iPhone 8 või uuem

Microsoft paikas septembri uuendustega 63 turvanõrkust

Microsoft paikas septembri uuendustega enda toodetes 63 haavatavust, sealhulgas aktiivselt ära kasutatud Windowsi nullpäeva turvanõrkuse ning viis kriitilist haavatavasust, mis võimaldavad koodi kaugkäivitust. Tutvu Microsofti ametlike juhistega siin ja vajadusel paika tarkvara.

Turvanõrkused mõjutavad järgmisi tooteid:

Microsoft Windowsi
Azure
Azure Arc
.NET-I
Visual Studio
Microsoft Edge (Chromium)
Office
Windows Defender

Aktiivselt ärakasutatud nullpäeva turvanõrkus CVE-2022-37969 mõjutab Windowsi operatsioonisüsteemi Log File System Driver komponenti. Eduka ärakasutamise korral on võimalik ründajatel omandada haavatavas süsteemis kõrgendatud tasemel (SYSTEM) õigused. Turvanõrkuse ärakasutamiseks peab neil olema sihtmärgiks valitud süsteemi siiski juba ligipääs ja samuti võimalus käivitada seal koodi.

Lisaks eelnevale haavatavusele juhitakse veel tähelepanu viiele kriitilisele turvanõrkusele, mille abil on võimalik ründajatel teostada mõjutatud süsteemis koodi kaugkäivitust. Esimest neist kutsustakse nimetusega CVE-2022-34718 (9.8/10.0) ja see mõjutab nii Windows Serveri kui ka Windowsi OSi erinevaid versioone. Turvanõrkus võimaldab ründajale koodi kaugkäivitust juhul, kui ta saadab spetsiaalse IPv6 paketi haavatava süsteemi suunas, millel on IPSec lubatud. Süsteemid, millel on IPv6 keelatud, ei ole haavatavad. Microsoft hindab turvanõrkuse ärakasutamise katsete tõenäosust pigem võimalikuks.

Samuti on koodi kaugkäivitamisega seotud turvanõrkused CVE-2022-34721 (9.8/10.0) ja CVE-2022-34722 (9.8/10.0). Haavatavused peituvad Windows Internet Key Exchange protokollis ja neid on võimalik ründajal ära kasutada, kui ta saadab mõjutatud süsteemide suunas spetsiaalse IP paketi. Microsoft hindab nende turvanõrkuste ärakasutamise katsete tõenäosust pigem tagasihoidlikumaks.

Viimased kaks kriitilist turvanõrkust CVE-2022-35805 (8.8/10.0) ja CVE-2022-34700 (8.8/10.0) mõjutavad lokaalseidMicrosoft Dynamics 365 installatsioone. Antud turvanõrkuste abiga on audentitud kasutajatel võimalik käivitada SQL-käske. Nad võivad ka üritada enda õigusi suurendada ja käivitada suvalisi SQL-käske andmebaasi omaniku õigustes.

Kuidas edasi käituda?

Lisaks siin põhjalikumalt välja toodud turvanõrkustele paikas Microsoft veel teisigi haavatavusi enda erinevates toodetes. Soovitame tutvuda Microsofti ametlike juhistega siin ja rakendada vajadusel vajalikud turvapaigad mõjutatud tarkvaradele.

Adobe parandas mitu turvanõrkust enda erinevates toodetes

Adobe parandas 63 turvanõrkust, mõjutatud on nii Windowsi kui Maci arvutite jaoks mõeldud tarkvarad nagu Adobe Bridge, InDesign, Photoshop, InCopy, Animage ja Illustrator (SW).

Adobe Bridge: Parandati nii kriitilisi (7.8/10.0) kui olulise (5.5/10.0) tasemega turvanõrkuseid. Eduka ärakasutamise korral on nende abil võimalik käivitada suvalist koodi ja on oht mälulekkele (memory leak).

Adobe InDesign: Tarkvara uuendatud versioon parandas mitmeid kriitilise (7.8/10.0; 7.5/10.0) või olulise (5.5/10.0) tasemega haavatavusi. Eduka ärakasutamise korral on võimalik nende abil käivitada suvalist koodi, lugeda failisüsteemi ja on oht mälulekkele (memory leak).

Adobe Photoshop: Tarkvara uuendatud versioon parandas mitmeid kriitilisi (7.8/10.0) või olulise tasemega (5.5/10.0) haavatavusi. Eduka ärakasutamise korral on võimalik nende abil käivitada suvalist koodi ja on oht mälulekkele (memory leak). Mõjutatud tarkvarade seas on Photoshop 2021 ja 2022 versioonid Windowsile ning macOSile.

Adobe InCopy: Turvanõrkuste eduka ärakasutamise korral on võimalik käivitada suvalist koodi ja on oht mälulekkele (memory leak). Tootja parandas nii kriitilise (7.8/10.0) kui olulise (5.5/10.0) tasemega turvanõrkuseid.

Adobe Animate: Parandati kaks kriitilist turvanõrkust (7.8/10.0), mille abil on võimalik ründajal käivitada kasutajana suvalist koodi.

Adobe Illustrator: Väljastati turvapaigad ühele kriitilisele (7.8/10.0) ja kahele olulise (5.5/10.0) tasemega turvanõrkusele, mille eduka ärakasutamise korral on võimalik ründajal käivitada süsteemis suvalist koodi või on oht mälulekkele (memory leak).

Tootjal puudub info selle kohta, et nende turvanõrkuste ärakasutamiseks oleks õnnestunud luua rakendatavat pahaloomulist programmi.

Kuidas edasi käituda?

Kui kasutate mõjutatud tooteid, soovitame tutvuda ametlike juhistega tootja kodulehel (millele on ka siin erinevate toodete puhul viidatud) ja uuendada mõjutatud tarkvara kõige uuemale versioonile.

Kriitiline WordPressi turvanõrkus ohustab maailmas ligi 300 000 veebilehekülge

Nullpäeva turvanõrkus tähistusega CVE-2022-3180 (9.8/10.0) ohustab WordPressi lehti, mis kasutavad WPGateway-nimelist laiendust. Turvanõrkuse abiga on võimalik autentimata ründajal lisada lehele uusi administraatori õigustega kasutajaid. Loodud kasutaja/kasutajate abil on ründajal võimalik leht täiesti üle võtta ja lisada lehele näiteks pahavara. (WF, HN).

NB! Mõned seni avaldatud näpunäited, kuidas ära tunda, et leht on selle turvanõrkuse abiga kompromiteeritud või lehte on üritatud sellega rünnata:

  1. Kui lisatud on pahaloomuline administraatori õigustega kasutaja nimega rangex, on teie leht suure tõenäosusega kompromiteeritud.
  2. Kui leiate lehe access logist järgneva päringu //wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1 tähendab see, et teie lehte on üritatud rünnata, kuid see ei viita ilmtingimata sellele, et see on ka õnnestunud.

Kuidas edasi käituda?

Kui kasutate WordPressi lehel WPGateway-nimelist laiendust, soovitame selle seniks eemaldada, kuni turvapaik on avaldatud ning siis see pärast avaldamist rakendada. Kui arvate, et teie leht on kompromiteeritud, teavitage sellest CERT-EE-d meiliaadressile cert@cert.ee.

Kaheastmeline autentimine: Microsofti kontod

CERT-EE juhendab, kuidas aktiveerida kaheastmeline autentimine Microsofti kontodel.
Blogist leiab ka varasemad juhised kaheastmelise autentimise aktiveermiseks Gmailis, Facebookis ja Twitteris.

Microsofti ehk Hotmaili, Outlooki, Live’i või MSNi konto kaheastmelise autentimise aktiveerimiseks pead kõigepealt sisenema oma kontole.

Kui Google’i konto kasutajad sisenevad oma kontole enamasti aadressilt gmail.com (mis suunab postkasti puhul edasi aadressile mail.google.com), siis Microsofti meiliteenuse kasutajatel on selleks aadressiks outlook.live.com. Microsoft suunab kasutajad automaatselt sellele aadressile, kui nad on trükkinud aadressireale hotmail.com, live.com või outlook.com. Kui aadressireale kirjutada msn.com, tuleb meilikontole sisenemine lehelt eraldi valida.

Järgmise sammuna tuleb ülevalt paremalt nurgast profiilipildi alt valida “Minu kontod,” “Kuva konto” ning seejärel uuel lehel “Security”.

Ekraanipilt

Seejärel vali “Update your security info” ning “Update info”:

Ekraanipilt: account.microsoft.com/security

Järgnevalt veendu, et Su kontoga on seotud vähemalt üks lisaturvalisuse meede, mille abil saad vajadusel oma kontole ligipääsu taastada. Selleks võib olla näiteks mõni teine meiliaadress, mida kasutad, või telefoninumber. Oma konto saab kinnitada SMSi või e-kirja teel. Lehe allosas saad valida “Explore more options to keep your account secure.” See link suunab Sind edasi lehele, kus saad aktiveerida kaheastmelise autentimise.

Ekraanipilt

Kui oled valinud konto kinnitamise e-kirja või SMSiga (soovitame e-kirja, sest SMS ei pruugi esimesel korral kohe kohale jõuda), saadetakse Sulle konto kinnitamiseks esmalt 4-kohaline kood:

Ekraanipilt

Suurema turvalisuse tagamiseks tuleb oma konto veelkord kinnitada ja selleks saadetakse juba pikem kood:

Ekraanipilt

Pärast konto kinnitamist on võimalik lisada oma kontole lisaturvalisust tagavaid funktsioone. Näiteks saab sisselogimisvõimaluste “Manage sign-in options” all valida, millise konto ja kasutajanimega sisse logid (näiteks, kui Sul on ühendatud Microsofti konto ja kunagine Skype’i kasutajanimi).

Ekraanipilt: https://account.live.com/proofs/Manage/additional

Juhul kui Su kontol on kaheastemeline autentimine sisse lülitamata, saad seda teha pealkirja “Two-step verification” all, valides “Set up two-step verification”.

Ekraanipilt

Lisaturvalisuse tagamiseks on kolm varianti:

  • lisada saab telefoninumbri, millele kas helistatakse või saadetakse SMS kinnituskoodiga,
  • lisada saab meiliaadressi, kuhu saadetakse kinnituskood,
  • Google Play poest, App store’ist või Windows Store’ist saab alla laadida rakenduse “Authenticator” (tootja: Microsoft Corporation).

Ekraanipilt

Sisselogimiseks nii, et kinnituskood saadetakse teise meiliaadressi peale, tuleb valida rippmenüüst “An alternate email address” ja lisada meiliaadress:

Ekraanipilt

Sisselogimiseks nii, et kinnituskood saadetakse SMSiga, tuleb valida rippmenüüst “A phone number” ja lisada telefoninumber:

Ekraanipilt

Sisselogimiseks nii, et kinnituskood genereeritakse rakenduses “Authenticator”, tuleb valida rippmenüüst “An app.”

Rakenduses “Authenticator” saab ära märkida, kas tegemist on isikliku, töö- või kooli kontoga ning määrata, kui pikka kinnituskoodi (6–8 numbrit) sisselogimise kinnitamiseks küsitakse.

Rakenduse ühendamiseks kontoga tuleb telefoniga skaneerida arvutis kuvatav QR-kood:

Ekraanipilt

Kuvatav kinnituskood muutub iga 30 sekundi järel.

Ekraanipilt

Erinevalt kõne või SMSiga autentimisest ei sõltu rakenduse “Authenticator” kasutamine mobiilside levi olemasolust: seda saab kasutada nii lennukis kui ka asukohtades, kus mobiililevi puudub. Näiteks reisides riiki, kus Su operaatoril puudub roaming, võib esineda probleeme ligipääsemisega sellele tagavara meilikontole, mille kaudu autentimiskoodi saada soovid, kui Sul on ka sellel kontol kaheastmeline autentimine aktiveeritud. Küll aga toimib sellises olukorras rakendus “Authenticator”.

Lisaturvalisuse meetmed kontol on tagatud ning kaheastmeliseks autentimiseks saab alloleval juhul kasutada näiteks nii e-kirja kui SMS-teenust:

Ekraanipilt

Kui kaheastmelise autentimise meetod on valitud, kuvatakse kasutajale kinnitus eduka aktiveerimise kohta. Samuti genereeritakse kasutajatele viiest plokist koosnev taastamiskood, mida saab kasutada juhtudel, kus on vaja konto taastada, kuid puudub ligipääs SMSidele, e-kirjadele ning rakendusele Authenticator.

Ekraanipilt

Kui kaheastmeline autentimine on aktiveeritud ja soovid oma kontole sisse logida, küsitakse kinnituskoodi. Kontole ei ole võimalik enne kinnituskoodi sisestamist ligi pääseda.

Ekraanipilt

Igapäevaselt kasutatava arvuti puhul on võimalik valida “Jäta mind selles arvutis meelde” (“Remember me on this computer”) ning selles konkreetses arvutis enam kinnituskoodi sisestama ei pea. Võõrast kohast sisse logides tuleb aga sisestada ka kinnituskood.

Kas tahad nutta?

Autor: CERT-EE

Reede õhtul hakkasid üle maailma laekuma teated laiaulatuslikest korporatiivsetest lunavaraga nakatumistest.

Ühendkuningriigi Terviseamet (NHS – National Health Service) on ametlikult kinnitanud 16 haigla nakatumisest lunavaraga, mille tõttu on oluliselt häiritud haiglate töö. Samuti on pihta saanud Hispaania suurim sideoperaator Telefonica ning Venemaa sideoperaator Megafon. Lisaks on lunavaraga nakatunud Hispaania elektriettevõte Iberdrola ja Hispaania Gas Natural ning autotootjad Renault ja Nissan on nakatumise tõttu peatanud töö mitmes tehases.

Üle maailma levib nutvaajava kiiruse ja efektiivsusega oma nime õigustav lunavara WannaCry (tõlge: TahadNutta), mille esimesi versioone oli näha juba veebruaris. Esialgse info põhjal ei ole veel võimalik öelda, kuidas eri organisatsioonides nakatumine toimus, kuid kahtlustatakse (sihitud) õngitsuskirjade kampaaniat.

Lunavarajuhtumid ei ole viimasel ajal enam midagi ebatavalist. Antud juhtumi teeb eriliseks asjaolu, et 24 tunni jooksul on nakatunud väga palju arvuteid ning nakatumine levib massiliselt masinates ettevõtete sees. Eri andmetel on 24 tunni jooksul nakatunud üle 148 700 arvuti. Kaspersky Labi andmetel on kõige rohkem nakatumisi Venemaal, muuhulgas on kinnitatud, et nakatunud on enam kui tuhat Venemaa siseministeeriumi arvutit. Nakatumiste arvult järgnevad Ukraina, India ja Taiwan, kuid jäävad Venemaast kaugele maha.

Kaspersky telemeetria andmed geograafilistest sihtmärkidest rünnaku esimestel tundidel.
Allikas: https://cdn.securelist.com/files/2017/05/wannacry_04.png

Praeguseks on tuvastatud kolm erinevat BitCoini rahakotti, mille kohaselt on lunavara autorid teeninud juba ligi 22 000 $.

WannaCry koodist on leitud viiteid domeenile, mis toimib antud lunavara puhul kui nn “killswitch” ehk suur väljalülitamise nupp. WannaCry kontrollib, kas domeen vastab ning positiivse vastuse korral lihtsalt “pakib pillid kotti” ega krüpteeri faile. Infoturbe ekspert, kes koodist vihje leidis, registreeris domeeni kohe enda nimele ja peatas sellega praeguseks lunavara ülikiire edasise leviku. Tema “seiklustest” saab lugeda inglise keeles

Natuke teistmoodi lunavara ehk Equation Group ja MS17-010

Tähelepanu väärib antud juhtumi puhul lunavara organisatsioonisisene levimine. Lunavara levib ilma kasutaja sekkumiseta, kasutades MS17-010 haavatavust, mille Microsoft paikas kaks kuud tagasi.

WannaCry lunavara kasutab ära grupeeringu Equation loodud eksploiti Eternalblue. Equation gruppi on varasemalt seostatud NSAga.

Koodi lekitas grupp Shadow Brokers neli nädalat pärast seda, kui Microsoft väljastas turvapaiga.

Sellise massilise nakatumise on võimalikuks teinud haavatavuse iseloom ning organisatsioonide suutmatus uuendusi piisava kiirusega kõikidesse tööjaamadesse paigaldada.

Kõnealuse MS17-010 haavatavuse kohta väljastas CERT-EE teate juba 15. märtsil.
Haavatavuse näol on tegemist koodi kaugkäivitusega, mis mõjutab kõiki Windowsi versioone, kasutades SMB-protokolli versiooni v1. SMB-protokoll on võrguprotokoll, mida kasutatakse võrguressursside jagamiseks (sealhulgas failide jagamine ja printimine).

Kuid veelgi märkimisväärsem on asjaolu, et SMB-protokoll v1 on tänapäeva mõistes iidvana, ligikaudu 30 aastat. Viimane Windowsi versioon, mis vajab SMB-protokolli v1 tuge, oli Windows XP – operatsioonisüsteem, mille tootjapoolne tugi lõpetati teadupärast 8. aprillil 2014. Siiski võivad seda operatsioonisüsteemi konkreetset versiooni vajada mõned multifunktsionaalsed printerid ning samasugune pärandtarkvara (ing. k. legacy software) nagu Windows XP.

Microsoft on juba pikka aega öelnud, et SMB-protokolli 1. versiooni kasutamine on ülimalt ebaturvaline ning tuleks koheselt lõpetada: Stop using SMBv1.

Ehk siis kogu juhtumi saab taandada infoturbe põhilisetele alustaladele: uuenda ja varunda!

Ma sain pihta. Mis nüüd?

Kui Sa seda seni teinud ei ole, siis nüüd on tegelikult ka viimane aeg varundama hakata!

Veel ei ole tööriista WannaCry poolt krüpteeritud failide dekrüpteerimiseks, samuti ei ole teada, millal ja kas üldse selline tööriist üldse valmib.

CERT-EE on koostanud ka lunavarajuhtumite ennetamise ja lahendamise lühijuhendi.

Kaitsemeetmed

Lisalugemist