Nollapäivähaavoittuvuuksia Windows 10 -käyttöjärjestelmässä

Windows 10 -käyttöjärjestelmästä on paljastunut haavoittuvuuksia, joita hyväksikäyttämällä tietokoneen normaali käyttäjä, tietokoneelle murtautunut rikollinen tai tietokoneella ajettava haittaohjelma voi korottaa käyttövaltuuksiaan pääkäyttäjätasolle tai muokata tiedostoja, joihin hänellä ei pitäisi olla pääsyä.

Haavoittuvuuksien avulla ei voida hyökätä suoraan tietokoneelle.

Microsoft on julkaissut korjaavat päivitykset kesäkuun päivityssyklissä 2019.

Haavoittuvuuksien hyväksikäyttömenetelmät (PoC) ovat julkisesti saatavilla.

Käyttöoikeuksien korotuksen mahdollistava haavoitus sijaitsee Task Scheduler -ohjelman Discretionary Access Control List (DACL) -käsittelyssä. Haavoittuvuuden löytäneen henkilön mukaan hyväksikäyttö ei tapahdu saman tien vaan voi kestää 15 minuuttia.

Aiempaa vuonna 2018 julkaistua saman Task Scheduler -ohjelman Advanced Local Procedure Call (ALPC) -haavoittuvuutta (18/2018) ryhdyttiin käytettiin haittaohjelmissa joidenkin viikkojen päästä haavoittuvuuden julkaisun jälkeen.

Tiedostojen luvattoman lukemisen mahdollistava haavoittuvuus sijaitsee Error Reporting -palvelussa. Haavoittuvuutta hyödyntämällä hyökkääjä voi tuhota tai muokata mitä tahansa Windows 10:n tiedostoja.

Nollapäivähaavoittuuksia on julkaistu myös Internet Explorer 11 -selaimeen. Suosittelemme käyttämään jotain muuta selainta kunnes päivitys on saatavilla.

Haavoittuvuuden kohde

32-bittinen Windows 10
64-bittinen Windows 10
Windows Server 2016
Windows Server 2019

Myös Windows 8 sisältää haavoittuvuuden, mutta Carnegie Mellon -yliopiston CERT:n ilmoituksen mukaan julkaistujen tekniikoiden hyödyntäminen siinä ei toimi samalla tavalla.

Mistä on kysymys?

Päivitä järjestelmä valmistajan ohjeiden mukaisesti.

Mitä voin tehdä?

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Paikallisesti

Paikallisesti tapahtuvan hyökkäyksen voi tehdä vain pääsemällä hyökkäyksen kohteena olevan laitteen luokse ja käyttämällä sitä paikallisesti. Paikallista hyökkäystä ei voi tehdä verkkoyhteyden kautta.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.