Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Microsoft korjasi kuukausittaisessa päivityksessään useita kriittisiä haavoittuvuuksia

Haavoittuvuus21/2021CVSS 9.9

Microsoftin heinäkuun päivitystiistai toi tullessaan korjauksia useisiin kriittisiin, sekä jo hyökkäyksissä hyväksikäytettyihin haavoittuvuuksiin laajaan kirjoon eri tuotteita. Haavoittuvuudet on syytä päivittää välittömästi myös lomakauden aikana.

Päivitysten priorisointiin kannattaa keskittyä erityisesti näin lomakaudella, koska haavoittuvuuksien vakavuusluokittelussa yleisesti käytetty CVSSv3-arvo ei aina kerro koko totuutta haavoittuvuuden merkittävyydestä. Microsoft luokittelee haavoittuvuuksille myös hyväksikäyttöpotentiaalin (Exploitability:  Less Likely / More Likely / Detected) ,joka kannattaa ottaa myös huomioon päivitysten priorisoinnissa.

Haavoittuvuuden vakavuuteen omassa ympäristössä saattaa myös vaikuttaa moni muu seikka, joten lopullinen riskiarvio on jokaisen organisaation tehtävä itse. Oleellista on kuitenkin se, että vakavimmat haavoittuvuudet päivitetään ensi tilassa, sekä muut oman riskiarvion perusteella sopivana ajankohtana.

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Paikallisesti
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

Heinäkuun päivityspaketti sisältää korjauksia laajaan kirjoon eri Microsoftin tuotteita, mutta erityisesti kannattaa priorisoida alla mainittujen haavoittuvuuksien korjaaminen mahdollisimman nopeasti.

Microsoft Exchange Server

CVE-2021-31196 (Ulkoinen linkki), CVE-2021-31206 (Ulkoinen linkki) ja CVE-2021-34473 (Ulkoinen linkki) | Microsoft Exchange Server Remote Code Execution Vulnerability

CVE-2021-34473 on näistä haavoittuvuuksista vakavin ja CVSSv3 arvoltaan 9.1, ja sen hyväksikäyttö on näistä todennäköisintä. Haavoittuvuuden korjaus oli mukana jo huhtikuun päivitysten yhteydessä, vaikka siitä ei silloin mainittukaan. On kuitenkin tärkeää varmistaa, että päivitys on asennettu.

CVE-2021-33768 (Ulkoinen linkki), CVE-2021-34470 (Ulkoinen linkki) ja CVE-2021-34523 (Ulkoinen linkki) | Microsoft Exchange Server Elevation of Privilege Vulnerability

Käyttöoikeuksien korottamisen palvelimella mahdollistavista haavoittuvuuksista vakavin CVE-2021-34523 on CVSSv3 arvoltaan 9.0, mutta sen hyväksikäyttöä ei pidetä niin todennäköisenä.

Windows DNS Server

CVE-2021-33746 (Ulkoinen linkki), CVE-2021-33754 (Ulkoinen linkki), CVE-2021-33780 (Ulkoinen linkki), CVE-2021-34494 (Ulkoinen linkki) ja CVE-2021-34525 (Ulkoinen linkki) | Windows DNS Server Remote Code Execution Vulnerability

Haavoittuvuuksista CVE-2021-33780 on luokiteltu todennäköisemmin hyväksikäytettäväksi. CVE-2021-33746 ja CVE-2021-33754 ovat saaneet CVSSv3 arvoksi 8.0 ja muut 8.8, koska niiden hyväksikäyttöön ei vaadita käyttäjän toimia.

Windows Hyper-V 

CVE-2021-34450 (Ulkoinen linkki) | Windows Hyper-V Remote Code Execution Vulnerability

Haavoittuvuus voi mahdollistaa Hyper-V palvelimelle kirjautuneelle hyökkääjälle suorittaa virtuaalipalvelimilla mielivaltaista ohjelmakoodia. Haavoittuvuus on saanut CVSSv3 arvoksi 8.5, mutta sen hyväksikäyttöä ei ole luokiteltu kovin todennäköiseksi.

Microsoft Defender

CVE-2021-34464 (Ulkoinen linkki) ja CVE-2021-34522 (Ulkoinen linkki) | Microsoft Defender Remote Code Execution Vulnerability

Molemmat haavoittuvuudet ovat saaneet CVSSv3 arvoksi 7.8 ja hyväksikäyttöä ei ole luokiteltu kovin todennäköiseksi. Defender päivittää itsensä automaattisesti ilman erillisen päivityspaketin asentamista, joka vähentää hyväksikäytön potentiaalia. Kannattaa kuitenkin varmistaa, että kaikissa ympäristöissä päivitys on myös onnistuneesti tapahtunut.

Scripting Engine

CVE-2021-34448 (Ulkoinen linkki) | Scripting Engine Memory Corruption Vulnerability

Haavoittuvuutta on jo havaittu hyväksikäytettävän aktiivisesti ja se on saanut CVSSv3 arvokseen 6.8.

Microsoft Sharepoint Server

CVE-2021-34520 (Ulkoinen linkki), CVE-2021-34467 (Ulkoinen linkki) ja CVE-2021-34468 (Ulkoinen linkki)  | Microsoft SharePoint Server Remote Code Execution Vulnerability

Näillä haavoittuvuuksilla suurempi todennäköisyys hyväksikäytölle ja niistä vakavin CVE-2021-34520 on saanut CVSSv3 arvokseen 8.1.

Windows kernel

CVE-2021-31979 (Ulkoinen linkki) ja CVE-2021-33771 (Ulkoinen linkki) | Windows Kernel Elevation of Privilege Vulnerability

Molemmilla haavoittuvuuksille on annettu CVSSv3 arvo 7.8 ja niitä on havaittu hyväksikäytettävän hyökkäyksissä jo ennen päivitysten julkaisua.

CVE-2021-34458 (Ulkoinen linkki) | Windows Kernel Remote Code Execution Vulnerability

Haavoittuvuuden hyväksikäyttö on todennäköistä, koska se ei ole monimutkaista eikä vaadi käyttöoikeuksia tai käyttäjältä mitään toimia. Haavoittuvuus on saanut CVSSv3 arvokseen 9.9.

Windows  win32k

CVE-2021-34449 (Ulkoinen linkki) | Win32k Elevation of Privilege Vulnerability

Haavoittuvuutta hyväksikäyttämällä paikallinen käyttäjä voi korottaa käyttöoikeuksia. Se on saanut CVSSv3 arvokseen 7.0 ja sen hyväksikäyttö on todennäköisempää.

 

Ratkaisu- ja rajoitusmahdollisuudet

Asenna tarjolla olevat korjaavat ohjelmistoversiot valmistajan ohjeiden mukaisesti.

Lisätietoja

Microsoft on julkaissut tiedotteen heinäkuun päivityksistä, sekä ohjeen niiden käyttöönottoon sivuillaan (Ulkoinen linkki) (ulkoinen linkki).