Microsoft korjasi kuukausittaisessa päivityksessään useita kriittisiä haavoittuvuuksia

Microsoftin heinäkuun päivitystiistai toi tullessaan korjauksia useisiin kriittisiin, sekä jo hyökkäyksissä hyväksikäytettyihin haavoittuvuuksiin laajaan kirjoon eri tuotteita. Haavoittuvuudet on syytä päivittää välittömästi myös lomakauden aikana.

Päivitysten priorisointiin kannattaa keskittyä erityisesti näin lomakaudella, koska haavoittuvuuksien vakavuusluokittelussa yleisesti käytetty CVSSv3-arvo ei aina kerro koko totuutta haavoittuvuuden merkittävyydestä. Microsoft luokittelee haavoittuvuuksille myös hyväksikäyttöpotentiaalin (Exploitability: Less Likely / More Likely / Detected) ,joka kannattaa ottaa myös huomioon päivitysten priorisoinnissa.

Haavoittuvuuden vakavuuteen omassa ympäristössä saattaa myös vaikuttaa moni muu seikka, joten lopullinen riskiarvio on jokaisen organisaation tehtävä itse. Oleellista on kuitenkin se, että vakavimmat haavoittuvuudet päivitetään ensi tilassa, sekä muut oman riskiarvion perusteella sopivana ajankohtana.

Haavoittuvuuden kohde

Heinäkuun päivityspaketti sisältää korjauksia laajaan kirjoon eri Microsoftin tuotteita, mutta erityisesti kannattaa priorisoida alla mainittujen haavoittuvuuksien korjaaminen mahdollisimman nopeasti.

Microsoft Exchange Server

CVE-2021-31196, CVE-2021-31206 ja CVE-2021-34473 | Microsoft Exchange Server Remote Code Execution Vulnerability

CVE-2021-34473 on näistä haavoittuvuuksista vakavin ja CVSSv3 arvoltaan 9.1, ja sen hyväksikäyttö on näistä todennäköisintä. Haavoittuvuuden korjaus oli mukana jo huhtikuun päivitysten yhteydessä, vaikka siitä ei silloin mainittukaan. On kuitenkin tärkeää varmistaa, että päivitys on asennettu.

CVE-2021-33768, CVE-2021-34470 ja CVE-2021-34523 | Microsoft Exchange Server Elevation of Privilege Vulnerability

Käyttöoikeuksien korottamisen palvelimella mahdollistavista haavoittuvuuksista vakavin CVE-2021-34523 on CVSSv3 arvoltaan 9.0, mutta sen hyväksikäyttöä ei pidetä niin todennäköisenä.

Windows DNS Server

CVE-2021-33746, CVE-2021-33754, CVE-2021-33780, CVE-2021-34494 ja CVE-2021-34525 | Windows DNS Server Remote Code Execution Vulnerability

Haavoittuvuuksista CVE-2021-33780 on luokiteltu todennäköisemmin hyväksikäytettäväksi. CVE-2021-33746 ja CVE-2021-33754 ovat saaneet CVSSv3 arvoksi 8.0 ja muut 8.8, koska niiden hyväksikäyttöön ei vaadita käyttäjän toimia.

Windows Hyper-V

CVE-2021-34450 | Windows Hyper-V Remote Code Execution Vulnerability

Haavoittuvuus voi mahdollistaa Hyper-V palvelimelle kirjautuneelle hyökkääjälle suorittaa virtuaalipalvelimilla mielivaltaista ohjelmakoodia. Haavoittuvuus on saanut CVSSv3 arvoksi 8.5, mutta sen hyväksikäyttöä ei ole luokiteltu kovin todennäköiseksi.

Microsoft Defender

CVE-2021-34464 ja CVE-2021-34522 | Microsoft Defender Remote Code Execution Vulnerability

Molemmat haavoittuvuudet ovat saaneet CVSSv3 arvoksi 7.8 ja hyväksikäyttöä ei ole luokiteltu kovin todennäköiseksi. Defender päivittää itsensä automaattisesti ilman erillisen päivityspaketin asentamista, joka vähentää hyväksikäytön potentiaalia. Kannattaa kuitenkin varmistaa, että kaikissa ympäristöissä päivitys on myös onnistuneesti tapahtunut.

Scripting Engine

CVE-2021-34448 | Scripting Engine Memory Corruption Vulnerability

Haavoittuvuutta on jo havaittu hyväksikäytettävän aktiivisesti ja se on saanut CVSSv3 arvokseen 6.8.

Microsoft Sharepoint Server

CVE-2021-34520, CVE-2021-34467 ja CVE-2021-34468 | Microsoft SharePoint Server Remote Code Execution Vulnerability

Näillä haavoittuvuuksilla suurempi todennäköisyys hyväksikäytölle ja niistä vakavin CVE-2021-34520 on saanut CVSSv3 arvokseen 8.1.

Windows kernel

CVE-2021-31979 ja CVE-2021-33771 | Windows Kernel Elevation of Privilege Vulnerability

Molemmilla haavoittuvuuksille on annettu CVSSv3 arvo 7.8 ja niitä on havaittu hyväksikäytettävän hyökkäyksissä jo ennen päivitysten julkaisua.

CVE-2021-34458 | Windows Kernel Remote Code Execution Vulnerability

Haavoittuvuuden hyväksikäyttö on todennäköistä, koska se ei ole monimutkaista eikä vaadi käyttöoikeuksia tai käyttäjältä mitään toimia. Haavoittuvuus on saanut CVSSv3 arvokseen 9.9.

Windows win32k

CVE-2021-34449 | Win32k Elevation of Privilege Vulnerability

Haavoittuvuutta hyväksikäyttämällä paikallinen käyttäjä voi korottaa käyttöoikeuksia. Se on saanut CVSSv3 arvokseen 7.0 ja sen hyväksikäyttö on todennäköisempää.

Mistä on kysymys?

Asenna tarjolla olevat korjaavat ohjelmistoversiot valmistajan ohjeiden mukaisesti.

Mitä voin tehdä?

Microsoft on julkaissut tiedotteen heinäkuun päivityksistä, sekä ohjeen niiden käyttöönottoon sivuillaan (ulkoinen linkki).

July 2021 Security Updates (ulkoinen linkki)

Security Update Guide (Ulkoinen linkki)

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Paikallisesti

Paikallisesti tapahtuvan hyökkäyksen voi tehdä vain pääsemällä hyökkäyksen kohteena olevan laitteen luokse ja käyttämällä sitä paikallisesti. Paikallista hyökkäystä ei voi tehdä verkkoyhteyden kautta.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.