Microsoft Windows nollapäivähaavoittuvuus

Tietoturvatutkija on löytänyt Microsoftin Windows-käyttöjärjestelmästä nollapäivähaavoittuvuuden, joka mahdollistaa mielivaltaisen ohjelmistokoodin ajamisen korotetuin valtuuksin.

Microsoftin Windows-käyttöjärjestelmästä on löytynyt haavoittuvuus, jonka avulla voidaan suorittaa mielivaltaista ohjelmistokoodia korotetuin valtuuksin. Haavoittuvuus on hyödynnettävissä paikallisesti. Haavoittuvuus koskee kaikkia Windowsin versioita, joissa on käytössä Elevation service -palvelu.

Haavoittuvuus löytyi CVE-2021-41379-haavoittuvuuden korjaavan päivityksen tutkinnassa. Tietoturvatutkija on julkaissut luotettavasti toimivan haavoittuvuuden hyväksikäyttömenetelmän (Proof of Concept).

Haavoittuvuuteen ei ole tällä hetkellä korjaavaa päivitystä ja sen hyväksikäyttöä on jo havaittu.

Haavoittuvuuden kohde

Kaikki Windowsin versiot, joissa on käytössä Elevation service -palvelu. (Myös Windows 11 ja Server 2022).

Windows Server 2022
Windows Server, version 20H2
Windows Server, version 2004
Windows Server, version 1909
Windows Server 2019 (version 1809)
Windows Server 2016 (version 1607)

Windows 10 -versiot:

21H2
21H1
20H2
2004
1909
1809
1607
1507

Windows 11

Mitä voin tehdä?

Ulkoinen linkki uutiseen https://www.bleepingcomputer.com/news/microsoft/new-windows-zero-day-with-public-exploit-lets-you-become-an-admin/

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Paikallisesti

Paikallisesti tapahtuvan hyökkäyksen voi tehdä vain pääsemällä hyökkäyksen kohteena olevan laitteen luokse ja käyttämällä sitä paikallisesti. Paikallista hyökkäystä ei voi tehdä verkkoyhteyden kautta.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Ei päivitystä

Haavoittuvuuden tultua julki ei korjausta siihen ole välttämättä heti saatavilla. Kohdejärjestelmät ovat alttiita haavoittuvuuden hyväksikäytölle jos niiden suojaamiseksi ei ryhdytä toimenpiteisiin.