Vakavaan Microsoft-haavoittuvuuteen on julkaistu tuotteistettu hyväksikäyttömenetelmä

Haavoittuvuus tiedostojen ja kirjottimien jakopalveluissa koskettaa suurta määrää käyttäjiä.

Microsoft julkaisi eilisessa ylimääräisessä haavoittuvuustiedotteessaan korjauksen vakavaan haavoittuvuuteen kaikkien Windows-versioiden käyttämissä tiedostojen ja tulostimien jakopalvelussa. Haavoittuvuuteen julkaistiin 24.10. tuotteistettu hyväksikäyttömenetelmä. Microsoftin tiedotteen mukaan viimeisin, 27.10. julkaistu hyväksikäyttömenetelmä mahdollistaa hyökkääjän omien komentojen suorittamisen Windows 2000, Windows XP ja Windows Server 2003 -järjestelmissä. CERT-FI:n useista lähteistä saamien tietojen mukaan haavoittuvuutta käytetään aktiivisesti hyväksi hyökkäyksissä mato-tyyppisten haittaohjelmien avulla. Mato piiloutuu ns. rootkitin avulla saastuneeseen tietokoneeseen, mikä tekee siitä vaikeasti havaittavan ja poistettavan. Haavoittuvuutta hyväksikäyttävä mato on levinnyt laajamittaisesti ja havaintoja on tehty useita satoja suomalaisissa verkoissa.

Haavoittuva palvelu on oletusarvoisesti päällä Windows-järjestelmissä.

  • Työasemissa palvelu on suljettu palomuuriasetuksin XP SP2-järjestelmässä ja sitä myöhemmissä versioissa.
  • Palvelinympäristöt kuitenkin käyttävät palvelua, ja sallivat liikenteen siihen tyypillisesti omista verkkojensa osalta. Näin ollen yksittäinen haavoittuva tietokone voi levittää haittaohjelmaa, kun se kytketään tähän verkkoon.
  • CERT-FI:n tiedossa on myös, että useat kotikäyttäjät käyttävät myös palvelua. Tällöin palomuuri ei suojaa haavoittuvuudelta niiden verkkojen osalta, joihin liikenne on sallittu.

CERT-FI suosittelee, että verkkoliikenne TCP-portteihin 139 ja 445 kannattaa oletusarvoisesti suojata verkon rajalla. Tämän lisäksi tulee kuitenkin kaikki verkon koneet päivittää mahdollisimman pikaisesti, tai ottaa niissä käyttöön jokin muu Microsoftin tietoturvatiedotteessa MS08-067 luetelluista suojakeinoista.

CERT-FI seuraa kansainvälisten kumppaneidensa kanssa haavoittuvuutta käyttävien haittaohjelmien levitystä verkossa. Levityskanavat pyritään sulkemaan mahdollisimman nopeasti. Haittaohjelmanäytteet saatetaan myös virustorjuntayhtiöiden tietoon.

Varoituksen kohderyhmä

  • Windows-järjestelmiä käyttävät organisaatiot ja yksityishenkilöt

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä Windows-järjestelmät ensi tilassa.

CERT-FI suosittelee suodattamaan mahdollisuuksien mukaan sisääntulevaa ja ulosmenevää liikennettä TCP-portteihin 139 ja 445 verkon rajalla.

Lisätietoa

    Päivityshistoria

    Asiasanat: Tietoturva , Varoitukset

    LinkedIn Print

    Yhteystiedot

    logo

    Viestintävirasto

    Kyberturvallisuuskeskus

    PL 313, 00181 Helsinki


    Mediayhteydenotot puhelimitse 0295 390 248