Älä anna päivitysprosessin lomailla suvena

Tietoturva Nyt!

Kriittisten haavoittuvuuksien päivittäminen on tärkeää - myös kesäaikana. Ovathan prosessit kunnossa ja sijaisjärjestelyt mietittynä työntekijöiden lomaillessa? Päivityksiä tulee tasaiseen tahtiin myös lomakaudella ja haavoittuvuuksien hyväksikäyttöä tapahtuu nopealla syklillä haavojen julkaisemisen jälkeen. Älä siis jätä päivityskalenteriin loma-aikaa!

""
Päivittäminen pitää huomioida niin poikkeusoloissa, lomakaudella kuin arkenakin.

Kriittisiä ja turvallisuuteen vaikuttavia päivityksiä julkaistaan myös kesäkuukausina. Niiden päivittämisen tai päivittämättä jättämisen tulisi olla tietoinen ratkaisu. Päivitysten tekeminen on myös ajan kannalta kriittistä, sillä ne pitäisi pyrkiä asentamaan ennen kuin niiden hyväksikäyttömenetelmä keksitään. Prosessin pitäisi pyöriä kesäkuukausinakin normaalisti, vaikka työvoimaa on vähemmän, sijaiset hoitavat osan tehtävistä ja ainoa IT-osaaja lomailee. On myös tärkeää pitää huolta, että päivitysprosessiin liittyvät ohjeet ja dokumentoinnit ovat ajan tasalla silloin, kun niitä tarvitaan. 

Kriittinen tietoturvapäivitys korjaa ohjelmiston haavoittuvuuden tai virheen ja parantaa samalla tietoturvaa. Haavoittuvuuden hyväksikäyttö voi johtaa esimerkiksi laitteen haltuunottoon, mielivaltaiseen koodin syöttämiseen tai tunnistautumisen ohittamiseen. Kriittisyyttä voidaan mitata monella eri tavalla. Yksi yleisesti käytetty mittari on CVSS-luku (Common Vulnerability Scoring System).

CVSS-luvun lisäksi kriittisyyttä voidaan arvioida muillakin mittareilla ja siihen vaikuttavat olemassaolevat hyväksikäyttömenetelmät ja mitä niistä ylipäätään tiedetään. Myös odotetut tai tiedetyt aktiiviset hyväksikäyttötapaukset ja sovelluksen sekä kirjaston yleisyys vaikuttavat arviointiin. Lisäksi haavoittuvuutta ja sen kriittisyyttä täytyy tarkastella aina oman ympäristön näkökulmasta. 

SIGRed (Ulkoinen linkki):n ja muiden viime kuukausina julkaistujen kriittisten haavojen päivitykset on suoritettava mielellään heti tai viimeistään samalla viikolla, kun ne on julkaistu. Kriittiseen SAP-haavaan (Ulkoinen linkki) julkaistiin hyväksikäyttömenetelmä alle viikon kuluessa haavan ilmitulosta. Internetissä olevat palvelut ovat jatkuvasti skannauksen kohteena, joten on oletettavaa, että hyväksikäyttömenetelmät ovat aktiivisessa käytössä heti haavoittuvuuden julkaisun jälkeen.

Miksi tämä haavoittuvuus on kriittinen?

Vuodesta 2003 alkaen joka kuukauden toisena tiistaina on "Patch Tuesday". Silloin esimerkiksi Microsoft julkaisee turvallisuuteen vaikuttavien haavojen korjauspäivitykset Windowsille, Officelle ja muille liitännäisille tuotteille. Päivitysaikataulu mahdollistaa paremman ennakoinnin ja suunnittelun, kun päivityksiä osataan odottaa tiettynä päivänä. Myös muut toimijat kuten Adobe ja Cisco ovat ottaneet käyttöönsä saman aikataulun. Viimeisin "Patch Tuesday" oli 14.7.2020, jolloin myös Microsoftin DNS palvelun -haavoittuvuuden korjauspäivitys tuli saataville.

Domain Name System (DNS)

Domain Name System eli nimipalvelujärjestelmä on yksi internetin tärkeimmistä komponenteista. DNS kääntää IP-osoitteet verkkosivujen nimiksi ja päin vastoin. Osoite https://www.kyberturvallisuuskeskus.fi/fi/ kääntyy 87.239.122.19 numerosarjaksi. Tällöin internetin käyttö on mutkatonta, kun ei tarvitse muistaa verkkosivujen numerosarja-osoitteita. DNS ei näyttäydy juurikaan normaalille internetin käyttäjälle. Tarjolla on useita erilaisia DNS-palveluratkaisuja ja toimijoita, mutta vain muutama on laajalti käytetty. DNS-kyselyt kulkevat omilta tai palveluntarjoajan palvelimilta internetin juuripalvelimille. DNS:n tärkeyden osoittaa se, että kun juuripalvelimissa on ongelmia, ovat erilaiset verkkosivut ja -palvelut ympäri maailmaa poissa käytöstä.

SIGRed-haavoittuvuus

SIGRed -haavoittuvuus (CVE-2020-1350) on erittäin kriittinen, koska sitä koskeva Windows Server (2003 tai uudempi) on erittäin laajalti käytetty ympäri maailmaa. Mikäli organisaatiossa on käytössä Windows-ympäristö, haava koskee todennäköisesti myös kyseistä organisaatiota ja haava on paikattava tai korjattava kuntoon. Haavoittuvuutta pystytään hyväksikäyttämään kohdepalvelimella DNS-kyselyitä ja vastauksia manipuloimalla. Palvelu, joka on käytössä laajennetuilla käyttöoikeuksilla saattaa haavoittuvuuden myötä antaa hyökkääjälle admin-tasoiset tunnukset. Nämä tunnukset saatuaan hyökkääjällä on mahdollisuus aiheuttaa yrityksen koko IT-infrastruktuurille laajaa haittaa.

""
Tietoturva on liiketoiminnalle merkityksellistä ja siitä on pidettävä huolta.

Haavoittuvuuksia on erilaisia ja siksi niiden hyväksikäytöllä voi olla monenlaisia vaikutuksia. Hyväksikäyttö voi johtaa siihen, että hyökkääjä pääsee muuttamaan tietoja esimerkiksi tietokannassa tai asiakastietojärjestelmässä. Hyökkääjä voi halutessaan korvata tai poistaa tietoja. Hyväksikäyttö voi myös tarkoittaa, että hyökkääjä estää sivuille pääsyn tai korvaa sisältöä jollain omaa päämääräänsä palvelevalla sisällöllä. Admin-tunnukset saadessaan hyökkääjä voi tehdä verkkoympäristössä samoja asioita, kuin ylläpitäjä. Hyökkääjän kohteena voivat olla myös tiedot tai raha, joten hyökkäyksen päämäärä voi olla myös tietojen varastaminen tai lunnasrahojen vaatiminen tiedot salaamalla.

Checkpoint-tietoturvayhtiön tutkijat ottivat tavoitteekseen löytää keinon päästä sisään Windows-ympäristöön Windows DNS:n kautta. Tähän asti ei ole ainakaan julkisesti tiedossa, että kukaan olisi löytänyt kyseistä haavaa kuluneiden 17-vuoden aikana. Tietoturvayhtiö ei tuonut julki kuinka paljon resursseja haavan tutkintaan on käytetty. 

EternalBlue -haavoittuvuus

Useimmat tunnetut Windows-ympäristöön lliittyneet julkiset haavat ja tutkimukset ovat liittyneet SMB- ja RDP-protokolliin. SMB-protokollan tunnetuin haava EternalBlue julkaistiin maaliskuussa 2017. Microsoft julkaisi haavan ja päivitykset siihen samoihin aikoihin. Toukokuussa WannaCry-haittaohjelma levisi ympäri maailmaa käyttäen hyväkseen EternalBlue-haavoittuvuutta. WannaCry levisi päivittämättömiä laitteita pitkin maailmalla ja vaati lunnaita salaamilleen tiedostoille.

Kesäkuussa 2017 NotPetya-haittaohjelma käytti hyväkseen samaa haavaa ja päivittämättömiä tietokoneita. WannaCry:n tavoin se salasi tiedostot ja vaati käyttäjältä lunnaita.Haittaohjelmat aiheuttivat haittaa lukuisille yrityksille ja valtiollisille toimijoille. Kokonaiskustannukset EternalBlue-haavaa hyväksikäyttäneistä WannaCry:sta ja NotPetya:sta lasketaan miljardeissa.

Tietoturvayhtiön tavoitteena oli keskittyä vähemmän huomiota saaneeseen hyökkäysvektoriin, Windows DNS:sään. Historiaan peilaten on suositeltavaa ottaa tämäkin Windows-ympäristöihin hyökkäyksen mahdollistava haava suurella vakavuudella ja päivittää laitteet mahdollisimman pian ajan tasalle.

Lisätietoja