Kuukausittainen päivitystiistai korjasi monia kriittisiä ja vakavia haavoittuvuuksia

Microsoft julkaisi päivitystiistaina 13.4.2021 (eng. Patch Tuesday) useita päivityksiä, joiden joukossa oli viisi nollapäivähaavoittuvuutta. Joukossa oli myös uusia Exchange-sähköpostipalvelimen haavoittuvuuksia, joiden päivitys tulee tehdä viipymättä.

Tiistaina 13.4.2021 tulleessa päivityserässä julkaistiin korjaukset 108:aan haavoittuvuuteen. Haavoittuvuuksista 19 on luokiteltu kriittisiksi ja 89 vakaviksi. Näihin haavoittuvuuksiin eivät lukeudu aiemmin huhtikuussa julkaistut kuusi Chromium Edge -haavoittuvuutta.

Nyt julkaistuihin Exchange-sähköpostipalvelimen haavoittuvuuksiin eivät liity maaliskuun alussa laajasti hyväksikäytetyt haavoittuvuudet tai Kyberturvallisuuskeskuksen julkaisema punainen varoitus.

Haavoittuvuuden kohde

Seuraavat neljä haavoittuvuutta ovat Microsoftin mukaan julkisuudessa, mutta eivät ole tulleet hyväksikäytetyiksi:

CVE-2021-27091 - RPC Endpoint Mapper Service Elevation of Privilege Vulnerability

CVE-2021-28312 - Windows NTFS Denial of Service Vulnerability

CVE-2021-28437 - Windows Installer Information Disclosure Vulnerability - PolarBear

CVE-2021-28458 - Azure ms-rest-nodeauth Library Elevation of

Käyttöoikeuksiin liittyvä haavoittuvuus:

Seuraava haavoittuvuus on tullut myös hyväksikäytetyksi

CVE-2021-28310 - Win32k Elevation of Privilege Vulnerability

Exchange-haavoittuvuuksien CVE-numerot:

CVE-2021-28480 - Microsoft Exchange Server Remote Code Execution Vulnerability

CVE-2021-28481 - Microsoft Exchange Server Remote Code Execution Vulnerability

CVE-2021-28482 - Microsoft Exchange Server Remote Code Execution Vulnerability

CVE-2021-28483 - Microsoft Exchange Server Remote Code Execution Vulnerability

Mistä on kysymys?

Päivitykset on julkaistu seuraaville haavoittuville Exchange-palvelimille:

Exchange Server 2013
Exchange Server 2016
Exchange Server 2019

Päivitykset on mahdollista asentaa seuraaville versioille:

Exchange Server 2013 CU23
Exchange Server 2016 CU19 and CU20
Exchange Server 2019 CU8 and CU9

BleepingComputer: Microsoft April 2021 Patch Tuesday fixes 108 flaws, 5 zero-days (ulkoinen linkki)

Microsoft: Released: April 2021 Exchange Server Security Updates (ulkoinen linkki)

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Paikallisesti

Paikallisesti tapahtuvan hyökkäyksen voi tehdä vain pääsemällä hyökkäyksen kohteena olevan laitteen luokse ja käyttämällä sitä paikallisesti. Paikallista hyökkäystä ei voi tehdä verkkoyhteyden kautta.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Palvelunestohyökkäys

Palvelunestohyökkäyksen tarkoituksena on estää kohdejärjestelmää toimimasta siinä tehtävässä mihin se on tarkoitettu. Hyökkäyksen tarkoituksena voi olla esimerkiksi www- tai sähköpostipalvelimen kuormittaminen runsaalla verkkoliikenteellä.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.