Tag Archives: Windows

Olulisemad turvanõrkused 2024. aasta 7. nädalal

Oht DNS-serveritele – teadurid leidsid 20 aastat vana disainivea DNSSECi spetsifikatsioonis

Teadurid avastasid uue DNS-iga seotud haavatavuse, mis sai nimeks KeyTrap. Vea (CVE-2023-50387) näol on tegemist Domain Name System Security Extensionsi (DNSSEC) disainiveaga. DNSSEC võimaldab tagada, et internetist domeeninime otsimisel saadav teave on autentne ja seda ei ole rikutud. Teisisõnu aitab lahendus suunata kasutajaid legitiimsetele veebilehtedele. KeyTrapi-nimelist turvanõrkust kasutades on võimalik peatada kõikide haavatavate DNSSECi kontrollivate DNS-serverite töö. See tähendab omakorda seda, et veebilehed, meiliserverid jms, mis nendest DNSSECi teenustest sõltuvad, ei pruugi tavapäraselt enam töötada. KeyTrapi rünnak võib vea avastanud teadlaste hinnangul mõjutada ka populaarseid avalikke DNSSECi valideerimisteenuste pakkujaid (Google ja Cloudflare). Täpsemalt saab turvanõrkuse kohta lugeda viidatult linkidelt (SW, TR, BC).

Microsoft parandas väga kriitilise turvanõrkuse

Microsoft parandas igakuiste tooteparanduste raames 73 haavatavust, nende hulgas kaks nullpäeva turvanõrkust. 73-st parandatud turvaveast hinnati viis haavatavust kriitiliseks. Üheks olulisemaks parandatud turvaveaks on haavatavus tähisega CVE-2024-21413 (tuntud ka kui MonikerLink), mis seab ohtu kõik aegunud Outlooki tarkvara kasutavad kasutajad. See võimaldab ründajal mööda minna “Office Protected View” turvaseadistusest. Ründaja võib ohvrile saata teatud kujul e-kirja ja kui ohver kasutab haavatavat versiooni tarkvarast ning kirja loeb, võib tema masinas käivituda halbade kokkusattumiste tagajärjel pahavara. Samuti on ründajal võimalik varastada ohvriga seotud NTLM-räsisid, mida on potentsiaalselt võimalik edasistes küberrünnetes kuritarvitada. Täpsema nimekirja parandustest leiab lisatud linkidelt (CP, BC, HN).

Adobe parandas enda toodetel vähemalt 30 turvanõrkust

Adobe on välja andnud värskendused, et parandada vähemalt 30 turvanõrkust mitmes laialdaselt kasutatavas tarkvaras, sealhulgas Adobe Acrobat, Reader, Commerce, Magento Open Source jpt. Need vead võivad lubada ründajatel käivitada kahjulikku koodi, turvameetmetest mööda minna või häirida rakenduste tööd. Adobe soovitab kasutajatel need värskendused kiiresti rakendada, et kaitsta end võimalike rünnakute eest. Ettevõtte sõnul ei ole hetkel informatsiooni, et turvanõrkusi oleks suudetud ära kasutada ka reaalsete rünnakute jaoks (SW, Adobe).

Zoomi tarkvaras parandati seitse turvaviga, sh üks kriitiline turvanõrkus

Zoom on parandanud oma Windowsi rakendustes kriitilise turvavea, mille abil võivad häkkerid saada ohvri arvutis kõrgemad õigused. Turvaviga tähistatakse kui CVE-2024-24691 ja see mõjutab mitut Windowsile mõeldud Zoomi rakendust, sealhulgas töölaua- ja VDI-kliente ning Meeting SDK-d. Täpsema nimekirja mõjutatud tarkvaraversioonidest leiab viidatud lingilt. Konkreetse turvavea ärakasutamiseks on vaja kasutajapoolset tegevust, näiteks seda, et kasutaja klõpsaks pahaloomulisel lingil. Lisaks sellele kriitilisele haavatavusele parandatakse Zoomi uusima värskendusegaka kuus muud turvanõrkust. Ettevõte soovitab tarkvara kasutajatel rakendada uuendused esimesel võimalusel (BC, Zoom).

ESET paikas Windowsile mõeldud tarkvaral kõrge mõjuga turvavea

ESET, kes arendab seadmetele viirusetõrjetarkvara, parandas Windowsi arvutitele mõeldud tarkvaral tõsise turvavea. Nimelt võimaldab CVE-2024-0353 tähisega haavatavus ründajatel saada volitamata juurdepääsu kohtadele, kuhu nad ei tohiks pääseda. Haavatavus leiti tarkvara sellest osast, mis kontrollib internetiga seotud võrguliiklust. Täpsem nimekiri mõjutatud tarkvaradest on toodud viidatud linkidel. Ettevõte soovitab rakendada parandused esimesel võimalusel. Viirusetõrjetarkvarades peituvad turvavead on üsna ohtlikud, kuna need tarkvarad vajavad enda tööks süsteemis tavaliselt kõrgendatud õiguseid. See tähendab, et kui ründajal õnnestub viirusetõrjetarkvara kompromiteerida, on tal potentsiaalselt võimalik kõrgendatud õigustega jätkata pahaloomulist tegevust süsteemis, suurendades ohtu lõppkasutajale (SA, ESET).   

Olulisemad turvanõrkused 2023. aasta 47. nädalal

  • Avalikustati  Windows Defenderi kriitilise turvavea kontseptsiooni tõendus

Turvaveale tähisega CVE-2023-36025 avalikustati kontseptsiooni tõendus (PoC). Kuigi antud haavatavusele on olemas parandus, võib PoCi avalikuks tulek suurendada rünnete hulka, mis üritavad seda turvanõrkust ära kasutada.

Turvaviga CVE-2023-36025 on operatsioonisüsteemides Windows 10, Windows 11, Windows Server 2008 ning viimase uuemates versioonides. Haavatavus võimaldab mööda minna Windows Defender SmartScreeni kontrollidest ja käivitada ohvri seadmes pahatahtlikku koodi. Selleks, et viga kuritarvitada, tuleb ründajal meelitada kasutaja avama pahaloomulist linki. Linki võib ründaja jagada õngitsuskirjade või kompromiteeritud veebilehtede kaudu (DR).

Küberturvalisusega tegeleva ettevõtte Proofpointi sõnul kasutab nimetatud haavatavust rünnete läbiviimisel näiteks TA544-nimeline küberrühmitus (DR).

  • Citrix kutsub kasutajaid rakendama lisameetmeid Citrix Bleedi turvanõrkuse vastu

Citrix tuletas administraatoritele meelde, et nad peavad lisaks NetScaleri seadmete tarkvara uuendamisele kasutusele võtma lisameetmeid, et kaitsta end turvanõrkuse CVE-2023-4966 vastu. Ettevõtte sõnul tuleb kustutada varasemad kasutajate sessioonid, samuti lõpetada kõik aktiivsed kasutajate sessioonid. See samm on väga oluline, sest rünnete käigus on varastatud kasutajate autentimise andmeid, mis võimaldavad kurjategijatel saada ligipääsu kompromiteeritud seadmetele ka pärast  seda, kui turvauuendused on rakendatud (BC).

Citrix parandas vea oktoobri alguses, kuid Mandianti sõnul on seda nullpäeva turvanõrkusena aktiivselt kuritarvitatud alates 2023. aasta augusti lõpust. Teadurite sõnul on üle 10 000 võrgus oleva Citrixi seadme turvanõrkusele haavatavad (BC).

Mitmed küberrühmitused kasutavad Citrix Bleedi turvanõrkust ära rünnete läbiviimisel. Eelmisel nädalal tegi CISA koos teiste asutustega ühisavalduse, milles kirjutatakse, et Lockbiti-nimeline lunavararühmitus kasutab rünnete läbiviimisel just Citrix Bleedi turvanõrkust. Muu hulgas rünnati sel viisil ka lennundusettevõtet Boeing, kellelt õnnestus varastada 43GB mahus andmeid   (HN, CISA).

  • Neli aastat vana Netflixi turvavea kohta avaldati täpsemat infot

Viga mõjutas Netflixi loodud DIAL-protokolli ja see parandati juba 2019. aastal. Nüüd on avaldatud ka täpsem tehniline kirjeldus haavatavuse kohta. Teadurite sõnul ootasid nad aastaid enne tehnilise analüüsi avalikustamist, et kõik tehnikatootjad jõuaksid oma riist- ja tarkvara uuendada ning need oleks rünnete eest kaitstud.

Turvaviga, mida on nimetatud ka „DIALStranger“, võimaldas kurjategijatel kaaperdada videovoogu ja näidata kasutajale suvalist videopilti. Haavatavus mõjutas kõiki telereid, videokonsoole ja muid võrgus olevaid seadmeid, mis toetasid DIAL-protokolli. Protokolli eesmärgiks oli lihtsustada videote vaatamist samas võrgus olevates erinevates seadmetes.

Haavatavust kuritarvitades on võimalik näiteks levitada propagandat või näidata kasutajate seadmetes tasulisi reklaame tulu teenimise eesmärgil.

Viimase nelja aasta jooksul on Netflix teinud parandusi DIAL-protokollis ja samuti on paljud seadmete tootjad võtnud kasutusele turvanõrkust leevendavad meetmed, seega tänaseks on haavatavuse potentsiaalne mõju suhteliselt väike (SC).

  • Mirai pahavaral põhineva robotvõrgustikuga liidetakse nullpäeva turvanõrkustega ruutereid ja videosalvestusseadmeid

Uus pahavarakampaania kasutab Mirai pahavaral baseeruva robotvõrgustikuga uute seadmete liitmiseks kahte nullpäeva turvaauku, mille abil on võimalik koodi kaugkäivitada. Ründekampaania käigus on sihitud ruutereid ja videosalvestusseadmeid (NVR), millel on administraatorikonto jaoks jäetud vaikimisi kasutajamandaadid (Akamai).

Eduka ründe korral võetakse seade üle ja paigaldatakse sinna Mirai pahavara variant. Robotvõrgustik kannab koodnimetust InfectedSlurs ja see kasutab Mirai pahavara varianti nimetusega JenX, mis tuli päevavalgele esimest korda 2018. aasta jaanuaris. Konkreetset robotvõrgustiku kasutatakse ulatuslike DDoS-rünnakute teostamiseks. Rünnakute toimepanijaid pole veel kindlaks tehtud (Akamai).

  • Teadlastel õnnestus Windows Hello autentimissüsteemist mööda pääseda

Teadlased avastasid haavatavused populaarsete sülearvutite Windows Hello jaoks kasutatavates sõrmejäljeandurites, mis võimaldavad sõrmejälgede autentimisest mööda minna sellistes seadmetes nagu Dell Inspiron 15, Lenovo ThinkPad T14s ja Microsoft Surface Pro X (SW).

Uuringu viisid läbi Blackwing Intelligence ja Microsofti Ofensive Research and Security Engineering (MORSE). Uurimus oli suunatud Match-on-Chip sõrmejäljeanduritele, millel on oma mikroprotsessor ja mälu, mistõttu on vaja rünnata kiipi, et autentimisest mööda minna (SW).

Rünnak nõuab füüsilist juurdepääsu sihitud seadmele. Delli ja Lenovo sülearvutite puhul õnnestus teadlastel autentimisest mööda pääseda kasutajate sõrmejälgedega seotud kehtivate ID-de loendamisega ja ründaja sõrmejälgede registreerimisega seadusliku kasutaja ID-d võltsides. Surface’i sülearvuti puhul sisestati sülearvutisse USB seade, mille abil näidati arvutile, justkui oleks legitiimne kasutaja sisse loginud (SW).

Täpsemalt saab uurimusega tutvuda siin.

  • Kriitiline turvanõrkus ownCloudi failijagamisrakenduses paljastab administraatorite paroolid

Avatud lähtekoodiga failide sünkroonimise ja jagamise lahendusel ownCloud on kolm kriitilise raskusastmega turvaauku, millest üks võib paljastada administraatori parooli ja meiliserveri mandaadid (BP).

Esimest viga, mida jälgitakse kui CVE-2023-49103, on hinnatud maksimaalse kriitilisuse skooriga 10.0/10.0 ja seda saab ära kasutada mandaatide ning konfiguratsiooniteabe varastamiseks. Viga on seotud grafapi versioonidega 0.2.0 kuni 0.3.0. Soovitatav parandus on kustutada fail „owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php”, keelata Dockeri konteinerites funktsioon „phpinfo” ja muuta ownCloudi administraatori parool, meiliserveri ja andmebaasi mandaadid ning Object-Store/S3 juurdepääsuvõtmed (BP).

Teine haavatavus, mille kriitilisuse skooriks on märgitud 9,8/10.0, mõjutab ownCloudi põhiteegi versioone 10.6.0–10.13.0. Viga võimaldab ründajatel pääseda juurde, muuta või kustutada mis tahes faili ilma autentimiseta, kui kasutaja kasutajanimi on teada ja ta pole konfigureerinud allkirjastamisvõtit (vaikesäte) (BP).

Kolmanda vea kriitilisuse skoor on veidi madalam kui kahel eelmisel (9.0/10.0). Ründajal on võimalik selle vea abil saata tundlikku teavet tema kontrollitavale veebisaidile. Selle parandamiseks tuleb haavatava ownCloudi valideerimisprotsessi tugevdada. Näiteks on võimalik kasutajatel välja lülitada säte nimega “Allow Subdomains”, kuni veale on parandus avalikustatud (BP).

Konkreetsed haavatavused võivad halvendada märkimisväärselt ownCloudi keskkonna turvalisust ja terviklikkust ning võivad viia andmeleketeni (BP).

Failijagamisplatvormide turvaauke kuritarvitatakse pidevalt ning eriti populaarsed on need lunavararühmituste seas. Seetõttu on ownCloudi administraatoritel ülioluline rakendada kohe soovitatud parandused ja teha teegi värskendused niipea kui võimalik, et turvariske maandada (BP).

Olulisemad turvanõrkused 2023. aasta 44. nädalal

  • Confluence’i tarkvaras avastati kriitiline turvanõrkus

Atlassian teavitas eelmise nädala alguses, et nende Confluence’i tarkvaras on kriitiline turvanõrkus, mida tähistatakse kui CVE-2023-22518. Haavatavus võib potentsiaalselt lubada autentimata ründajatel, kes saavad saata mõjutatud Confluence’ile spetsiaalsete parameetritega päringuid, taastada konkreetse Confluence’i andmebaas ja lõpuks käivitada suvalisi süsteemikäske (PD). Atlassiani sõnul võib autentimata ründaja haavatavuse abil põhjustada kliendi Confluence’i keskkonnas andmekadu (Atlassian). Ettevõte andis 3. novembril ka teada, et nõrkust on üritatud aktiivselt kuritarvitada (Atlassian). RIA avaldas turvanõrkuse kohta käiva ülevaate 31. oktoobril enda blogis (RIA).

Atlassiani sõnul on turvavea vastu haavatavad kõik Confluence Serveri ja Data Centeri versioonid, millel ei ole turvapaika rakendatud. Mõjutatud ei ole Atlassian Cloudi kasutavad Confluence’id.

Põhiliseks vastumeetmeks on uuendada Confluence ühele järgnevatest versioonidest:

7.19.16 või hilisem;
8.3.4 või hilisem;
8.4.4 või hilisem;
8.5.3 või hilisem;
8.6.1 või hilisem.

Ettevõtte ametlikus ohuteates on kirjeldatud ka alternatiivsed võimalused enda haavatavat Confluence’i kaitsta, kui uuendamine ei ole mingil põhjusel võimalik (Atlassian). Siiski tuleks prioritiseerida kaitsemeetmena uuendamist.

  • Microsoft Exchange’il avastati neli nullpäeva turvanõrkust

Microsoft Exchange Serveril avastati neli nullpäeva turvaauku, mida autentitud ründaja saab eemalt ära kasutada suvalise koodi käivitamiseks või haavatavatest süsteemidest tundliku teabe varastamiseks. Turvanõrkusi tähistatakse nelja erineva tähisega: ZDI-23-1578, ZDI-23-1579, ZDI-23-1580 ja ZDI-23-1581. Microsofti sõnul on ZDI-23-1578 turvanõrkuse vastu kaitstud kõik kliendid, kes on rakendanud Exchange’ile augustikuu turvauuendused.  Teiste turvanõrkuste puhul on ründajal vaja kätte saada Exchange’i kasutava meilikonto kasutajatunnused, et turvavigu oleks võimalik kuritarvitada (BP).

  • Kriitilist Apache ActiveMQ turvaviga üritatakse lunavararünnakutes ära kasutada

Küberturbeekspertide sõnul on hiljutiste lunavararünnakute jaoks kasutatud Apache ActiveMQ kriitilist turvaauku, millest teatati 25. oktoobril ja mida tähistatakse kui CVE-2023-46604. Turvanõrkus võimaldab haavatavas süsteemis käivitada pahaloomulist koodi ja see üle võtta (TR).

Hiljuti avaldati ka üks analüüs, kus uuriti kaht rünnakut, mille käigus konkreetset turvanõrkust üritati kuritarvitada. Analüüsis leiti, et rünnakute käigus üritati süsteemid krüpteerida HelloKitty lunavaraga. Ekspertide hinnangu kohaselt olid aga krüpteerimiskatsed “kohmakad”, mis tähendas, et ründajatel ei õnnestunud isegi mitme katse käigus faile krüpteerida (Rapid7).

Turvaveast mõjutatud Apache ActiveMQ versioonid on järgnevad (Apache):

Kõik 5.18.x versioonid enne 5.18.3

Kõik 5.17.x versioonid enne 5.17.6

Kõik 5.16.x versioonid enne 5.16.7

Kõik versioonid, mis on vanemad kui 5.15.16

OpenWire Module 5.18.x versioonid enne 5.18.3

OpenWire Module 5.17.x versioonid enne 5.17.6

OpenWire Module 5.16.x versioonid enne 5.16.7

OpenWire Module 5.8.x versioonid enne 5.15.16

Kasutajatel soovitatakse uuendada mõjutatud tarkvara ühele järgnevatest versioonidest: 5.15.16, 5.16.7, 5.17.6 või 5.18.3.

  • Teadlased avastasid 34 haavatavat Windowsi draiverit

Teadlased avastasid 34 Windowsi draiverit, mida pahalased saavad kuritarvitada süsteemide kompromiteerimiseks. Mõnda neist haavatavatest draiveritest võivad kurjategijad kasutada näiteks arvuti mälu oluliste osade kustutamiseks (THN).

Haavatavate draiverite hulgas olid muuhulgas AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.M. rtif.sys, rtport.sys, stdcdrv64.sys ja TdkLib64.sys (THN).

34 draiverist kuus võimaldavad juurdepääsu kerneli mälule, mida saab siis kuritarvitada õiguste tõstmiseks või turbelahenduste kaotamiseks. Seitse draiverit, sealhulgas Inteli stdcdrv64.sys, saab kasutada püsivara kustutamiseks SPI-välkmälust, muutes süsteemi käivitamatuks (THN).

Eelnevat kirjeldatud ohtude eest kaitsmiseks on oluline hoida oma arvuti tarkvara ajakohasena (THN).

  • Ründajad kuritarvitavad F5 BIG-IP kriitilisi turvanõrkusi

Ründajad kuritarvitavad aktiivselt F5 BIG-IP kriitilist haavatavust, mis võimaldab neil käivitada süsteemikäske. Viga, mida jälgitakse kui CVE-2023-46747, võimaldab autentimata ründajal, kellel on BIG-IP-süsteemile võrgujuurdepääs halduspordi kaudu, käivitada pahaloomulist koodi (SW).

Turvanõrkusele on avalikustatud ka kontseptsiooni tõendus (PoC), mis suurendab kuritarvitamise tõenäosust.  Ründajad on antud kriitilist turvanõrkust kasutanud koos teise uue turvaveaga BIG-IP konfiguratsioonis, mida tähistatakse kui CVE-2023-46748 (SW).

26. oktoobril avalikustas F5 turvanõrkuste vastu parandused BIG-IP versioonide 13.x kuni 17.x jaoks ja kutsus kliente üles neid võimalikult kiiresti rakendama (SW).

Ettevõte on mõlema vea jaoks välja andnud ka vastavad indikaatorid (IoC), et aidata organisatsioonidel võimalikku kompromiteerimist tuvastada. F5 hoiatab siiski aga, et kõik kompromiteeritud süsteemid ei pruugi olla tuvastatavad avaldatud indikaatoritega ning osav ründaja võib enda tegevuse jäljed ka eemaldada.

Ründajad kasutavad turvaauke kombineeritult, seega võib enamiku rünnakute peatamiseks piisata samas ainult CVE-2023-46747 vastu avalikustatud turvaparanduse rakendamisest (SW). Siiski on soovituslik rakendada kõik avalikustatud turvaparandused.

  • Kubernetese jaoks mõeldud NGINX Ingress kontrolleri turvavead võivad lubada häkkeritel mandaate varastada

Kubernetese NGINX Ingressi kontrolleril on kolm turvaviga, mis võivad lubada häkkeril klastrist mandaate varastada. Need haavatavused võivad samuti võimaldada ründajal sisestada kontrolleri protsessi kahjulikku koodi ja saada volitamata juurdepääsu tundlikele andmetele. Üks haavatavustest, CVE-2022-4886, võimaldab ründajal varastada kontrollerist Kubernetese API mandaate.

Tarkvara arendajad on avalikustanud mõned viisid nende haavatavuste leevendamiseks, näiteks teatud valikute rakendamine või NGINX-i uuemale versioonile värskendamine (THN).