Haavoittuvuus21/2021CVSS 9.9
Microsoftin heinäkuun päivitystiistai toi tullessaan korjauksia useisiin kriittisiin, sekä jo hyökkäyksissä hyväksikäytettyihin haavoittuvuuksiin laajaan kirjoon eri tuotteita. Haavoittuvuudet on syytä päivittää välittömästi myös lomakauden aikana.
Päivitysten priorisointiin kannattaa keskittyä erityisesti näin lomakaudella, koska haavoittuvuuksien vakavuusluokittelussa yleisesti käytetty CVSSv3-arvo ei aina kerro koko totuutta haavoittuvuuden merkittävyydestä. Microsoft luokittelee haavoittuvuuksille myös hyväksikäyttöpotentiaalin (Exploitability: Less Likely / More Likely / Detected) ,joka kannattaa ottaa myös huomioon päivitysten priorisoinnissa.
Haavoittuvuuden vakavuuteen omassa ympäristössä saattaa myös vaikuttaa moni muu seikka, joten lopullinen riskiarvio on jokaisen organisaation tehtävä itse. Oleellista on kuitenkin se, että vakavimmat haavoittuvuudet päivitetään ensi tilassa, sekä muut oman riskiarvion perusteella sopivana ajankohtana.
Kohde
- Työasemat ja loppukäyttäjäsovellukset
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Paikallisesti
- Ilman kirjautumista
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Suojauksen ohittaminen
- Käyttövaltuuksien laajentaminen
Hyväksikäyttömenetelmä tiedossa
- Rikollisessa käytössä
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
Heinäkuun päivityspaketti sisältää korjauksia laajaan kirjoon eri Microsoftin tuotteita, mutta erityisesti kannattaa priorisoida alla mainittujen haavoittuvuuksien korjaaminen mahdollisimman nopeasti.
Microsoft Exchange Server
CVE-2021-31196 (Ulkoinen linkki), CVE-2021-31206 (Ulkoinen linkki) ja CVE-2021-34473 (Ulkoinen linkki) | Microsoft Exchange Server Remote Code Execution Vulnerability
CVE-2021-34473 on näistä haavoittuvuuksista vakavin ja CVSSv3 arvoltaan 9.1, ja sen hyväksikäyttö on näistä todennäköisintä. Haavoittuvuuden korjaus oli mukana jo huhtikuun päivitysten yhteydessä, vaikka siitä ei silloin mainittukaan. On kuitenkin tärkeää varmistaa, että päivitys on asennettu.
CVE-2021-33768 (Ulkoinen linkki), CVE-2021-34470 (Ulkoinen linkki) ja CVE-2021-34523 (Ulkoinen linkki) | Microsoft Exchange Server Elevation of Privilege Vulnerability
Käyttöoikeuksien korottamisen palvelimella mahdollistavista haavoittuvuuksista vakavin CVE-2021-34523 on CVSSv3 arvoltaan 9.0, mutta sen hyväksikäyttöä ei pidetä niin todennäköisenä.
Windows DNS Server
CVE-2021-33746 (Ulkoinen linkki), CVE-2021-33754 (Ulkoinen linkki), CVE-2021-33780 (Ulkoinen linkki), CVE-2021-34494 (Ulkoinen linkki) ja CVE-2021-34525 (Ulkoinen linkki) | Windows DNS Server Remote Code Execution Vulnerability
Haavoittuvuuksista CVE-2021-33780 on luokiteltu todennäköisemmin hyväksikäytettäväksi. CVE-2021-33746 ja CVE-2021-33754 ovat saaneet CVSSv3 arvoksi 8.0 ja muut 8.8, koska niiden hyväksikäyttöön ei vaadita käyttäjän toimia.
Windows Hyper-V
CVE-2021-34450 (Ulkoinen linkki) | Windows Hyper-V Remote Code Execution Vulnerability
Haavoittuvuus voi mahdollistaa Hyper-V palvelimelle kirjautuneelle hyökkääjälle suorittaa virtuaalipalvelimilla mielivaltaista ohjelmakoodia. Haavoittuvuus on saanut CVSSv3 arvoksi 8.5, mutta sen hyväksikäyttöä ei ole luokiteltu kovin todennäköiseksi.
Microsoft Defender
CVE-2021-34464 (Ulkoinen linkki) ja CVE-2021-34522 (Ulkoinen linkki) | Microsoft Defender Remote Code Execution Vulnerability
Molemmat haavoittuvuudet ovat saaneet CVSSv3 arvoksi 7.8 ja hyväksikäyttöä ei ole luokiteltu kovin todennäköiseksi. Defender päivittää itsensä automaattisesti ilman erillisen päivityspaketin asentamista, joka vähentää hyväksikäytön potentiaalia. Kannattaa kuitenkin varmistaa, että kaikissa ympäristöissä päivitys on myös onnistuneesti tapahtunut.
Scripting Engine
CVE-2021-34448 (Ulkoinen linkki) | Scripting Engine Memory Corruption Vulnerability
Haavoittuvuutta on jo havaittu hyväksikäytettävän aktiivisesti ja se on saanut CVSSv3 arvokseen 6.8.
Microsoft Sharepoint Server
CVE-2021-34520 (Ulkoinen linkki), CVE-2021-34467 (Ulkoinen linkki) ja CVE-2021-34468 (Ulkoinen linkki) | Microsoft SharePoint Server Remote Code Execution Vulnerability
Näillä haavoittuvuuksilla suurempi todennäköisyys hyväksikäytölle ja niistä vakavin CVE-2021-34520 on saanut CVSSv3 arvokseen 8.1.
Windows kernel
CVE-2021-31979 (Ulkoinen linkki) ja CVE-2021-33771 (Ulkoinen linkki) | Windows Kernel Elevation of Privilege Vulnerability
Molemmilla haavoittuvuuksille on annettu CVSSv3 arvo 7.8 ja niitä on havaittu hyväksikäytettävän hyökkäyksissä jo ennen päivitysten julkaisua.
CVE-2021-34458 (Ulkoinen linkki) | Windows Kernel Remote Code Execution Vulnerability
Haavoittuvuuden hyväksikäyttö on todennäköistä, koska se ei ole monimutkaista eikä vaadi käyttöoikeuksia tai käyttäjältä mitään toimia. Haavoittuvuus on saanut CVSSv3 arvokseen 9.9.
Windows win32k
CVE-2021-34449 (Ulkoinen linkki) | Win32k Elevation of Privilege Vulnerability
Haavoittuvuutta hyväksikäyttämällä paikallinen käyttäjä voi korottaa käyttöoikeuksia. Se on saanut CVSSv3 arvokseen 7.0 ja sen hyväksikäyttö on todennäköisempää.
Mistä on kysymys?
Asenna tarjolla olevat korjaavat ohjelmistoversiot valmistajan ohjeiden mukaisesti.
Mitä voin tehdä?
Microsoft on julkaissut tiedotteen heinäkuun päivityksistä, sekä ohjeen niiden käyttöönottoon sivuillaan (Ulkoinen linkki) (ulkoinen linkki).