TigerTeam - suomalainen tietoturvablogi

Tuliko nollapäiväaukoista paikkauspäivän alla tapa?

Kirjoitti Juha-Matti Laurio 10. syyskuuta 2010 Kommentoi

Tarkka ajoitus ja usean hyökkäystekniikan yhdistäminen - nämä toimintamallit ovat nollapäiväaukkoja hyödyntävät verkkorikolliset ottaneet jälleen käyttöönsä. Tästä on erittäin hyvä esimerkki vastikään havaittu Adobe Readerin ja Adobe Acrobatin uusinta versiota koskeva, kirjasintenkäsittelyyn liittyvä haavoittuvuus (CVE-2010-2883).

Valmistaja julkaisee seuraavat vuosiaikataulun mukaiset tietoturvapäivityksensä 13. lokakuuta.

Organisaation kannattaa ottaa uusi haavoittuvuus vakavasti muun muassa seuraavista syistä:

  • Tiedossa ei ole, että aikataulun ulkopuolista korjauspäivitystä olisi tulossa. Valmistaja on vasta evaluoimassa korjausaikataulua.

  • Hyödyntämiskoodi haavoittuvuudelle on lisätty tunnettuun Metasploit-projektiin. Tämä mahdollistaa uusia hyödyntämistapoja, vaikkakin samalla lisää valmistajan paineita julkaista korjauspäivitys vakioaikataulun ulkopuolella.

  • Haittaohjelma osaa läpäistä kaksikin teknologiaa, joilla vihamielisen koodin ajamista pyritään käyttöjärjestelmätasolla estämään. Nyky-Windowseissa näitä ovat Data Execution Prevention (DEP) ja Address Space Layout Randomisation (ASLR).

  • Kaikki yleisimmät alustat ovat haavoittuvia. Vielä jokin aikaa sitten organisaation tietoturvayksikkö pystyi rajaamaan riskin esimerkiksi pieneen osaan työasemia, vaikkapa pieneen XP-konekantaansa. Nyt on tilanne toinen.

On myös paljastunut, että haittaohjelman työasemaan kopioimat tiedostot ovat yhdysvaltalaiselta luototusyhtiöltä varastetulla varmenteella allekirjoitettuja. Luotettavan tahon allekirjoittaman varmenteen käytöstähän saatiin kokemuksia aikaisemmin tänä vuonna esimerkiksi Stuxnet-madon yhteydessä.

Jo yksissään kaikkien alustojen alttius riittää soittamaan hälytyskelloja. Joka tapauksessa usean keinon yhdistäminen on merkki verkkorikollisten kiristyneestä kilpajuoksusta tilanteessa, jossa ohjelmistojätteihin kuuluva Adobe on ilmoittanut ottavansa tulevaisuudessa käyttöön vaikkapa Chrome-selaimesta tuttua sandboxing-teknologiaa.

Onko Adobe nyt samassa tilanteessa kuin Microsoft on ollut jo vuosia, eli säännöllisten vakiopäivitysten testejä lopetellessa ja julkaisutiedotteita viimeisteltäessä nurkan takaa tuleekin kriittinen nollapäiväaukko? Tietoturvapäivitysten julkaisun vakioaikatauluista Adobella jouduttiiin poikkeamaan jo viime kuussa.

Onko teidän organisaatiossa olemassa toimintasuunnitelmaa jokaista työasemaa koskettavan nollapäiväaukon löytymiseen?

Tagit: adobe, hyökkäyskoodi Delicious Kommentoi

Kukaan ei ole vielä kommentoinut tätä merkintää.

Tilaa tämän blogimerkinnän kommentit RSS-syötteenä

Kirjoita kommentti