Tietoturva Nyt!
Yritysten, kuntien, oppilaitosten ja muiden organisaatioiden tietohallinnon on nyt syytä tarkistaa, onko heidän verkossaan näkyvissä avoimia Windows etätyöpöytäpalveluja (Remote Desktop System). Microsoftin Windows-käyttöjärjestelmän Remote Desktop Service -toteutuksesta (RDS, etätyöpöytä-sovellus) on löytynyt useita kriittisiä haavoittuvuuksia. Haavoittuvuudet saivat toukokuussa nimen BlueKeep. Haavoittuvuudet mahdollistavat matomaisesti leviävien haittaohjelmien toteuttamisen. Haavoittuvuutta käytetään tietomurtoihin sekä Suomessa että maailmalla.
Microsoft on julkaissut tietoturvapäivityksiä RDS-toteutukseen. Ensimmäinen ohjelmistopäivitys julkaistiin toukokuun käyttöjärjestelmäpäivitysten yhteydessä. Tuolloin RDS-toteutuksessa korjattua haavoittuvuutta kutsuttiin nimellä BlueKeep. Microsoftin elokuun tietoturvapäivitysten yhteydessä korjattiin kaksi uutta kriittistä haavoittuvuutta RDS-toteutuksesta.
Tiedotetta kirjoitettaessa Suomessa on noin 4500 haavoittuvaa järjestelmää avoinna Internettiin. Haavoittuvuuden hyväksikäyttöä ennakoiva skannaus on lisääntynyt merkittävästi. Kyberturvallisuuskeskuksen tietojen mukaan BlueKeep-haavoittuvuutta on hyödynnetty nk. Big Game Hunting (Ulkoinen linkki) -tapauksissa alkuperäisenä murtautumismenetelmänä. Näiden tietojen johdosta Kyberturvallisuuskeskus julkaisi aiheesta keltaisen varoituksen.
Windowsin etätyöpöytä-sovellusta käytetään tietokoneiden välisen yhteyden muodostamiseen. Sovelluksen avulla käyttäjä voi esimerkiksi muodostaa yhteyden työpaikan tietokoneeseen kotoa ja käyttää kaikkia sovelluksia sekä tiedostoja kuin olisi työkoneen äärellä. Etätyöpöytäsovellus on oletuksena pois päältä kuluttajille myytävissä Windows-versioissa.
Erilaiset RDS-palvelun haavoittuvuudet koskevat useimpia sekä uusia että vanhoja Windows-versioita, jos ei niitä ole päivitetty. Suurin uhka voi syntyä verkkoon unohtuneesta yksittäisestä työasemasta, jossa on etätyöpöytäsovellus. Sen kautta hyökkääjä voi saada helpon jalansijan organisaation sisäverkkoon. On tärkeää tietää, mitä laitteita ja palveluita omassa verkossa ajetaan, miksi niitä ajetaan ja että ne on kaikki päivitetty. Tarpeettomasti ulkoverkkoon näkyvät palvelut on syytä sulkea.
Lisätietoja
- Varoitus 2/2019: Microsoftin etätyöpöytä-sovelluksen haavoittuvuuksia hyödynnetään tietomurroissa (Ulkoinen linkki)
- https://msrc-blog.microsoft.com/2019/08/13/patch-new-wormable-vulnerabilities-in-remote-desktop-services-cve-2019-1181-1182/ (Ulkoinen linkki)
- Etätyöpöytä-sovelluksen ohje (Ulkoinen linkki)