Dellin Windows-laitteissa vakava haavoittuvuus | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Dellin Windows-laitteissa vakava haavoittuvuus

5. toukokuuta 2021 klo 10.54

Dell julkaisi korjaavan päivityksen vakavaan haavoittuvuuteen Windowsia käyttävissä laitteissaan. Haavoittuvuuden kerrotaan koskettavan useita satoja miljoona laitteita maailmanlaajuisesti.

Tietoturvayhtiö SentinelLabs löysi Dellin ohjelmistosta viiden haavoittuvuuden joukon (CVE-2021-21551), jotka ovat olleet olemassa jo vuodesta 2009. Haavoittuvuudet koskevat dbutil_2_3.sys -päivitysajuria, joka on syytä päivittää tai poistaa.

Haavoittuvuuksien avulla hyökkääjä voi saada haltuunsa paikallisen pääkäyttäjän oikeudet. Tämän avulla on esimerkiksi mahdollista ohittaa laitteen tietoturvaominaisuuksia ja ottaa laite haltuun.
Mikäli hyökkääjällä on jo pääsy organisaation verkkoon, tämänkaltaisen haavoittuvuuden avulla on mahdollista hyväksikäyttää haavoittuvaa Dell-laitetta ja näin vahvistaa hyökkääjän asemaa verkossa ja pyrkiä tunkeutumisen laajentamiseen verkossa.

SentinelLabsin mukaan haavoittuvuuden hyväksikäyttöä ei vielä ole havaittu maailmalla, eikä hyväksikäytön esimerkkikoodia ole vielä saatavilla. SentinelLabs on julkaisemassa esimerkkikoodin haavoittuvuuteen 1.6.2021.

Haavoittuvuus koskee heidän mukaansa satoja miljoonia Dell-laitteita, mukaanlukien pöytäkoneet, kannettavat ja mobiililaitteet. Tämän hetken tietojen mukaan haavoittuvuus ei koske Dellin Windows-palvelimia.
 

Haavoittuvuuden kohde

Dellin Windowsia käyttävät laitteet, joissa on dbutil_2_3.sys-päivitysajuri.

Jos sinun laitteestasi löytyy seuraavista poluista dbutil_2_3.sys-tiedosto, laitteesi on haavoittuva.

  • C:\Users\<username>\AppData\Local\Temp 
  • C:\Windows\Temp

Mistä on kysymys?

Dellin ohjeiden (ulkoinen linkki) mukaisesti ajurin päivitys tai poisto.

Mitä voin tehdä?

Windows 10 -laitteille päivitys on saatavilla heti, Windows 7- ja 8.1 -laitteille päivitys on saatavilla heinäkuun loppuun mennessä.

Dellin tiedote asiasta (ulkoinen linkki)
SentinelLabsin artikkeli aiheesta (ulkoinen linkki)

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Paikallisesti

Paikallisesti tapahtuvan hyökkäyksen voi tehdä vain pääsemällä hyökkäyksen kohteena olevan laitteen luokse ja käyttämällä sitä paikallisesti. Paikallista hyökkäystä ei voi tehdä verkkoyhteyden kautta.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.