Win32k-komponentissa aktiivisesti hyväksikäytetty haavoittuvuus | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Win32k-komponentissa aktiivisesti hyväksikäytetty haavoittuvuus

13. lokakuuta 2021 klo 14.01

Win32k-komponentissa on haavoittuvuus, joka löytyy lähestulkoon kaikista Windows-laitteista. Haavoittuvuutta on myös alettu jo käyttää hyväksi. Suosittelemme päivittämään mahdollisimman nopeasti!

Haavoittuvuus CVE-2021-40449 voi johtaa kernel-moduulin osoitteiden vuotamiseen tietokoneen muistissa. Kyseessä on siis Use-After-Free (UAF) -haavoittuvuus, joka liittyy dynaamisen muistin vääränlaiseen käyttöön, jossa muistin vapauduttua ohjelma ei tyhjennä osoitinta.

Hyökkääjät käyttävät haavoittuvuutta käyttöoikeuksien korottamiseen MysterySnail-haittaohjelman avulla. Se on etäältä ohjattava troijalainen (RAT eli Remote Access Trojan), joka antaa hyökkääjälle pääsyn uhrin järjestelmään.

Kaspersky kertoo, että haavoittuvuutta ja haittaohjelmaa on käytetty maailmalla eri sektoreiden organisaatioita kohtaan. 

Microsoft korjasi päivitystiistaina 12.10. yhteensä 81 haavoittuvuutta, joista voit lukea tarkemmin täältä (ulkoinen linkki).
Kaikkien organisaatioiden ja kotikäyttäjien tuleekin päivittää Windows-laitteensa mahdollisimman nopeasti.

 

Kaspersky: MysterySnail crawls through zero-day vulnerability (ulkoinen linkki)
Linkki Microsoftin sivuille (ulkoinen linkki)

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Paikallisesti

Paikallisesti tapahtuvan hyökkäyksen voi tehdä vain pääsemällä hyökkäyksen kohteena olevan laitteen luokse ja käyttämällä sitä paikallisesti. Paikallista hyökkäystä ei voi tehdä verkkoyhteyden kautta.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.