Microsoftin MSHTML-nollapäivähaavoittuvuus mahdollistaa komentojen suorittamisen etänä | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Microsoftin MSHTML-nollapäivähaavoittuvuus mahdollistaa komentojen suorittamisen etänä

8. syyskuuta 2021 klo 12.30, päivitetty 15. syyskuuta 2021 klo 15.24

Microsoft Windows MSHTML-komponentin etäkäyttöhaavoittuvuus vaikuttaa Microsoft Windowsiin.

Microsoftilla on tiedossaan haavoittuvuuden hyväksikäyttöyrityksiä. Haavoittuvuuden hyväksikäyttöön riittää dokumentin esikatselu Microsoft Explorer-näkymässä tai haittakoodia sisältävän dokumentin avaaminen.

Haavoittuvuuden aiheuttamaa riskiä voidaan pienentää poistamalla käytöstä ActiveX-komponentti ja Microsoft Explorerin esikatselunäkymä. Osa haittaohjelmien havainnointityökaluista havaitsee haavoittuvuuden hyväksikäyttöyritykset. Näitä työkaluja ovat esimerkiksi Microsoft Defender Antivirus ja Microsoft Defender for Endpoint -työkalut, jotka molemmat Microsoftin mukaan havaitsevat ja suojaavat käyttäjää tältä haavoittuvuudelta. Hyökkääjien on havaittu käyttävän haavoittuvuutta aktiivisesti hyväkseen, joten epäluotettavista lähteistä saatuihin dokumentteihin kannattaa suhtautua erityisellä varoivaisuudella kunnes korjaava päivitys on saatu asennettua.

Microsoft on julkaissut korjaavan päivityksen 14.9.

Haavoittuvuuden kohde

Haavoittuvuus hyväksikäyttää MSHTML-komponenttia joka on oletuksena kaikissa yleisissä Windows-asennuksissa.

Mistä on kysymys?

Microsoft on julkaissut korjauksen syyskuun tietoturvapäivitysten yhteydessä. Asenna Windowssin syyskuun päivitykset.

 

Microsoft: Microsoft MSHTML Remote Code Execution Vulnerability (ulkoinen linkki)

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

13. syyskuuta 2021 klo 11.00 Täsmennetty haavoittuvuustiedotetta uusilla tiedoilla ja riskiarviota. Lisätty tietoa, kuinka haavoittuvuutta voidaan hyväksikäyttää.