Tag Archives: Word

Ülevaade Microsofti toodetest, mille tugi kaob 2023. aastal

Microsoft tõi välja toe kaotavate toodete nimekirja ning täpse kuupäeva. Populaarsemad tarkvarad ja teenused on nimekirjas kirja pandud rasvaselt.

Microsofti tooted, mille tugi lõppeb 10. jaanuaril 2023

  • Dynamics AX 2012 R3
  • Dynamics NAV 2013
  • Dynamics NAV 2013 R2
  • Internet Information Services (IIS), IIS 8.5 Windows 8.1-l
  • Microsoft Diagnostics and Recovery Toolset 8.0
  • Microsoft Report Viewer 2012 Runtime
  • Service Bus for Windows Server
  • User Experience Virtualization (UE-V) 1.0
  • Visual Studio 2012
  • Visual Studio Team Foundation Server 2012
  • Windows 7, pikendatud turvauuendustega 3
  • Windows 8.1
  • Windows Defender For Windows 8 and 8.1
  • Windows Embedded 8.1 Pro
  • Windows RT
  • Windows Server 2008, pikendatud turvauuendustega
  • Windows Server 2008 R2, pikendatud turvauuendustega 3
  • Workflow Manager 1.0

Microsofti tooted, mille tugi lõppeb 11. aprillil 2023

  • Access 2013
  • Dynamics GP 2013
  • Dynamics GP 2013 R2
  • Excel 2013
  • Exchange Server 2013
  • HPC Pack 2012
  • HPC Pack 2012 R2
  • Lync 2013
  • Microsoft Lync Phone Edition
  • Microsoft Lync Server 2013
  • Microsoft Office 2013
  • Microsoft OneNote 2013
  • Outlook 2013
  • PowerPoint 2013
  • Project 2013
  • Project Server 2013
  • Publisher 2013
  • SharePoint Foundation 2013
  • SharePoint Server 2013
  • Skype for Business 2015
  • Visio 2013
  • Word 2013

Microsofti tooted, mille tugi lõppeb 11. juulil 2023

  • BizTalk Server 2013
  • BizTalk Server 2013 R2
  • Dynamics 365 for Customer Engagement Apps, version 9 (on-premises update), Original Release (ver 9.0)
  • Microsoft BitLocker Administration and Monitoring 2.0
  • Microsoft SQL Server 2008, Extended Security Update Year 4 (Azure only)
  • Microsoft SQL Server 2008 R2, Extended Security Update Year 4 (Azure only)
  • Microsoft SQL Server 2012, Extended Security Update Year 1
  • Visual Studio 2022 , Version 17.0 (LTSC channel)
  • Windows Embedded 8 Standard
  • Windows Embedded 8.1 Industry

Microsofti tooted, mille tugi lõppeb 10. oktoobril 2023

  • Excel 2019 for Mac
  • Hyper-V Server 2012
  • Hyper-V Server 2012 R2
  • Internet Explorer 7
  • Internet Information Services (IIS), IIS 8 on Windows Server 2012
  • Internet Information Services (IIS), IIS 8.5 on Windows Server 2012 R2
  • Microsoft Office 2019 for Mac
  • Microsoft Office Audit and Control Management Server 2013
  • Outlook 2019 for Mac
  • PowerPoint 2019 for Mac
  • Windows Embedded Compact 2013
  • Windows Embedded POSReady 7, Extended Security Update Year 2
  • Windows Embedded Standard 7, Extended Security Update Year 3
  • Windows MultiPoint Server 2012
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server Update Services for Windows Server 2012
  • Windows Server Update Services for Windows Server 2012 R2
  • Windows Storage Server 2012
  • Windows Storage Server 2012 R2
  • Word 2019 for Mac

Allikas: Microsoft

Aegunud tarkvara toob kaasa küberohud. Järgnev loetelu toob välja mõned levinumad stsenaariumid

  1. Ründajal õnnestub aegunud tarkvara tõttu kompromiteerida ettevõtte meiliserver/veebiserver. Seejärel ründaja varastab kasutajate postkastide sisu ja/või saadakse ligipääs tööarvutile/arvutitele ning seal olevatele failidele. Selline intsident mõjutab eelkõige konfidentsiaalsust ning võib kaasa tuua ka GDPRi rikkumise.
  2. Aegunud tarkvaraga serveril on turvaauk, mida ründajad lunavararünnakuks kasutavad. Kui  serveri sisu pole varundatud või ei ole varukoopiast võimalik piisaval hulgal andmeid taastada, mõjutab intsident esmalt teenuste käideldavust. Suure tõenäosusega on ettevõtte töö tugevalt häiritud. Lunavararünnakutega kaasneb ka andmelekke oht. See tähendab, et ründajad varastavad enne süsteemide krüpteerimist andmed seal hoitavad andmed. Nendeks võivad olla klientide andmed, muu tundlik info ja ärisaladused. Varastatud andmeid kasutatakse hiljem väljapressimiseks. Seega võib selline intsident põhjustada nii rahalist- kui ka mainekahju.
  3. Ettevõttes kasutatakse aegunud kontoritarkvara, mille abil töötlevad ettevõtte töötajad andmeid. Ühel päeval saabub ühe töötaja postkasti kiri koos manusega. Töötaja laeb manuse alla ja avab selle, mille tagajärjel käivitub pahavara. Kuna viirusetõrjetarkvara on samuti aegunud või ei ole see võimeline pahavara tuvastama, ei takista miski selle käivitumist. Pahavara kasutab ära üht spetsiaalset turvanõrkust, mis kimbutab just vanemaid kontoritarkvaraversioone. Pahavara abil saavad ründajad ligipääsu esmalt konkreetse töötaja arvutile, kust võimalusel liigutakse edasi. Pahavaraga võib nakatuda kogu ettevõtte võrk. Selline intsident võib mõjutada nii konfidentsiaalsust, terviklust kui käideldavust, sõltuvalt ründaja eesmärkidest.

Kõik eelnevalt kirjeldatud intsidendid võivad põhjustada ettevõtetele nii rahalist- kui ka mainekahju.  Need kaks tegurit mõjutavadki potentsiaalset ohvrit kõige rohkem. Lisaks tõstavad tootjapoolse toeta toodete kasutamine tegevusriski, kuna nendest tingitud ründed võivad peatada organisatsiooni töö täielikult.

Ülevaade Follina turvanõrkusest Windowsi operatsioonisüsteemis

Nimetus: CVE-2022-30190 või Follina
Rahvusvaheline turvanõrkuse riskiskoor: 7.8/10

Taust
20.06.2022

Mai lõpus avastati ühest analüüsikeskkonnast pahaloomuline Wordi dokument. Dokumendi uurimise käigus selgus, et see võimaldab ründajale pahavara käivitanud kasutaja õigustes koodi kaugkäitust mõjutatud Windowsi operatsioonisüsteemidest. Dokumendi tegi eriliseks aga asjaolu, et pahaloomulise koodi käivitamiseks kasutati legitiimset Windowsi tööriista (Microsoft Diagnostic Tool). Tegu oli turvanõrkusega, mille jaoks väljastas Microsoft 30. mail ametliku hinnangu. Turvapaiga paikamiseni kulus siiski ligi kaks nädalat.  Ohustatud on kõik kasutajad, kes kasutavad Microsoft Office 2013, 2016, 2019 ja 2021 tarkvara ning paikamata Windowsi operatsioonisüsteeme, mis saavad veel turvauuendusi[1].

Mõju maailmas ning Eestis

Turvanõrkust üritatakse hetkel maailmas aktiivselt kuritarvitada. Mitmel juhul on sihtmärkideks valitud Euroopa ja USA ametiasutused[2] ning mitmed riikidega seostatavad küberrühmitused on üritanud seda ära kasutada[3][4]. Ründekatseid on märganud näiteks ka Ukraina CERT[5][6]. Samuti üritatakse turvanõrkuse abil ohvrite seadmetesse paigaldada Qakboti (Qbot) pahavara[7], mille abil varastatakse kasutajatunnuseid ja meilivestluseid. Suure tõenäosusega jätkatakse turvanõrkuse ärakasutamise katseid ka tulevikus

CERT-EEle ei ole siiani teada ühtegi juhtumit, mille puhul oleks pahalastel õnnestunud Eesti küberruumis seda turvanõrkust kuritarvitada. Siiski juhime tähelepanu sellele, et pahavara käivitamine ei eelda makrode kasutamist ega teatud tingimustel isegi pahaloomulise faili avamist. Microsoft väljastas 14.06.2022 mõjutatud süsteemidele ametliku turvapaiga[8]. Tuletame kasutajatele meelde, et hoolimata erinevatest kaitsemeetmetest, tuleb olla kahtlaste kirjade puhul väga ettevaatlik. Paraku ei suuda viirusetõrjetarkvarad tuvastada kõiki erinevaid pahavarade versioone, mida ründajad kasutavad. Arvestades lisaks, kui laialdaselt Microsoft Office’i tooteid Eestis kasutatakse, kujutab turvanõrkus potentsiaalset ohtu nii tavakasutajatele kui ka erinevatele organisatsioonidele Eestis.

Turvanõrkuse kirjeldus ning kuidas seda ära kasutatakse

Algsete näidiste puhul üritati esmalt alla laadida välisest veebiserverist HTMLi fail. Viide sellele failile asus document.xml.rels nimelises failis, mis kirjeldab manusobjektide (embedded objects)kasutamist dokumendis. Manusobjekte kasutab Office’i tarkvara näiteks Exceli tabelite lisamisel Wordi dokumenti[9]

HTMLi faili sisu käivitati omakorda MSDT protokolli URI skeemiga. MSDT protokolli[10] kasutatakse Windowsi operatsioonisüsteemis veateadete edastamiseks Microsofti kasutajatukke. Paraku õnnestub sellega käivitada ka ohvri seadmes pahaloomulisi Powershelli käske.

Mai lõpus avastatud näidise puhul tuvastati, et HTMLi faili oli lisatud rida väljakommenteeritud A tähti[11]. See tundus uurijatele veider, sest kommentaarid ühtegi protsessi ei käivita. Hiljem selgus, et pahavara käivitamiseks olid need tähed siiski hädavajalikud. Nimelt pidi HTML fail olema vähemalt 4096 baiti suur, et Microsofti HTMLi moodul seda töötleks. Kuna pahaloomulised koodiread moodustasid kokku alla 4096 baidi, oli koodi lisaks sisse kirjutatud kommentaaridena ka just needsamad A tähed. Seetõttu sarnaneb Follina turvanõrkus omapäralt haavatavusele CVE-2021-40444, millest on täpsemalt kirjutatud siin.

Viimastel aastatel on palju räägitud makrodest, mida pahaloomulised Microsoft Office’i failid kasutavad pahavara käivitamiseks. Microsoft teatas sel aastal, et blokeerib vaikimisi makrode kasutamise Office’i failide puhul, mis pärinevad internetist [12]. Paraku ei kasuta Follina turvanõrkust kuritarvitav pahavara makrosid, seega ei ole Microsofti kaitsemeetmest siin kasu. Selleks, et pahavara käivituks, peab ohver pahaloomulise Wordi dokumendi avama ja lubama selle redigeerimise.

Ründajal on võimalik pahavara ohvri seadmes käivitada ka selliselt, et ohver ei avagi pahaloomulist dokumenti. Selle jaoks kasutatakse RTF vormingus faili. RTF ehk Rich Text Format on Microsofti loodud vorming, mida suudavad avada paljud erinevad rakendused. Seega kasutatakse seda peamiselt tekstide redigeerimiseks erinevate tekstitöötlustarkvarade vahel. Pahalastel õnnestub RTF faile kuritarvitada aga nii, et pahavara käivitamiseks ei ole ilmtingimata vajalik pahaloomulise dokumendi avamine. Kui kasutajal on Windowsi operatsioonisüsteemis eelvaatepaan (preview pane) lubatud, parsitakse pahaloomulise dokumendi sisu automaatselt ja tema süsteem ongi halvimal juhul kompromiteeritud.

Ühe võimaliku ründe iseloomustus:

  1. Kasutaja saab kirja, mille manusesse on lisatud pahaloomuline dokument.
  2. Kasutaja laeb selle alla enda lokaalsesse süsteemi.
  3. Pahavara käivitamiseks ohvri masinas on kaks võimalust ning see sõltub sellest, kuidas ründaja on asjale lähenenud:
    A) Ohver laadis alla Wordi dokumendi, avab selle ja lubab redigeerimise. Kuna pahavara ei kasuta makrosid, siis käivitatakse see juba redigeerimise lubamisel (vt Pilt1, Pilt2).
    B) Ohver laadis alla pahaloomulise RTF faili. Ta liigub süsteemis faili allalaadimiskausta ja teeb faili aktiivseks. Selle tagajärjel käivitub pahavara, kui kasutatakse eelvaatepaani (preview pane)[13].

Pilt 1. Pahaloomuline Wordi dokument avaneb kaitstud vaates. Redigeerimise lubamisel käivitatakse pahavara.

Pilt 2. Pärast redigeerimise lubamist kuvatakse testkeskkonnas teade, et kasutaja süsteem on kompromiteeritud.

Kõik oleneb muidugi ka süsteemile rakendatud kaitsemeetmetest – kas viirusetõrjetarkvaral õnnestub pahaloomuline fail kahjutuks teha, kas süsteemiga seotud tulemüür suudab ohtu tõrjuda jne. Testimise käigus tuli meil näiteks Windows 10 operatsioonisüsteemi viirusetõrjetarkvara välja lülitada, kuna pahaloomulise koodi käivitamine ei olnud muul viisil võimalik. See aga ei tähenda, et viirusetõrjetarkvara suudab igal korral ohte tõrjuda – ründajad on leidlikud ja leiutavad pidevalt uusi versioone pahavaradest, et viirusetõrjetarkvarad neid ei tuvastaks.

Soovitused

  1. Rakendage esimesel võimalusel väljastatud turvapaik mõjutatud süsteemidele[14]. Kui süsteemides on automaatne uuendamine lubatud, ei pea turvapaika manuaalselt installeerima.
  2. Kui teie organisatsioon on veendunud, et RTF failid ei ole teile vajalikud, soovitame meilifiltrite abil sellised kirjad blokeerida, mille manusesse on RTF failid lisatud.
  3. Microsoft on avalikustanud alternatiivse vastumeetme[15], millega enda süsteeme selle turvanõrkuse eest kaitsta. Soovitame sellega tutvuda, hinnata rakendamise võimalikkust ja võimalusel seda kasutada, kui turvapaiga rakendamine ei ole võimalik.
  4. Koolitada enda organisatsiooni töötajaid mitte salvestama ega avama kahtlaste kirjade manuseid, vaid need kustutama või suunama sellised kirjad infoturbeosakonda. Kui selline võimalus puudub, aitab CERT-EE alati kahtlaste kirjade analüüsimisega. 

Kuidas sai turvanõrkus endale Follina nime?

Rahvusvahelises kogukonnas tuntakse nõrkust ka nimega „Follina“. Sellise nimetuse andis haavatavusele üks esimesi turvanõrkuse analüüsijaid. Ta märkas, et pahaloomulise Wordi dokumendi nimetuses olid numbrid 0438. Kuna seda numbrikombinatsiooni kasutab suunakoodina Follina-nimeline piirkond Itaalias, andiski ta turvanõrkusele just taolise nime[16]. Sel hetkel puudus turvanõrkusel CVE tähis, seega kinnistus selline nimetus mitteametlikult paljude uurijate ja teemast huvitunute seas.

Joonealused viited

[1] https://www.bleepingcomputer.com/news/security/microsoft-patches-actively-exploited-follina-windows-zero-day/

[2] https://www.bleepingcomputer.com/news/security/windows-zero-day-exploited-in-us-local-govt-phishing-attacks/

[3] https://threatpost.com/follina-exploited-by-state-sponsored-hackers/179890/

[4] https://www.bleepingcomputer.com/news/security/windows-msdt-zero-day-now-exploited-by-chinese-apt-hackers/

[5] https://cert.gov.ua/article/40559

[6] https://cert.gov.ua/article/160530

[7] https://isc.sans.edu/forums/diary/TA570+Qakbot+Qbot+tries+CVE202230190+Follina+exploit+msmsdt/28728/

[8] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190

[9] https://billdemirkapi.me/unpacking-cve-2021-40444-microsoft-office-rce/

[10] https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/msdt

[11] https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug

[12] https://docs.microsoft.com/en-us/deployoffice/security/internet-macros-blocked

[13] https://isc.sans.edu/forums/diary/Quickie+Follina+RTF+Explorer+Preview+Pane/28734/

[14] https://www.bleepingcomputer.com/news/security/microsoft-patches-actively-exploited-follina-windows-zero-day/

[15] https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

[16] https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

RIA analüüsi- ja ennetusosakond ning CERT-EE