TigerTeam - suomalainen tietoturvablogi

Maailman suurimmista ohjelmistovalmistajista Microsoftin ja Adoben vakioaikataulun mukaiset tietoturvapäivitysten säännölliset jakelut – ns. paikkauspäivät sattuivat tällä viikolla samalle päivälle. Eikä kyseessä ole ensimmäinen kerta.

SANS-instituuttiin kuuluva Internet Storm Center -keskus näyttää käyttävän päiväkirjamerkinnässään myös Adoben päivityspäivästä aikaisemmin Microsoft-päivityksille varaamaansa termiä Black Tuesday – “Musta tiistai”.

Merkillepantavaa on myös se, että kun Microsoftin 13 bulletiinista kaksi – IE:tä ja nimipalvelua koskevat – kuuluu luokitukseltaan vakavimpaan Critical-luokkaan on kaikki Adoben elokuussa korjaamat Flash-haavoittuvuudet luokiteltu kriittisiksi.

Nyt päivitetyistä ohjelmistoista Shockwave Playeriä, Flash Media Serveriä ja RoboHelpiä ei joka työasemasta löydy, mutta Flash on asennettuna ja tuettuna selaimessa käytännössä jokaisessa minkä tahansa kokoisen organisaation työasemassa. Vihamielisen koodin ajamisen mahdollistavia haavoittuvuuksia paikattiin Adobe Flash Player -versiosta 10.3.181.36 peräti 12 kappaletta.

Haavoittuvuustutkijat kiireisinä

Iso osa Flash-haavoittuvuuksista on tullut Adoben tietoon haavoittuvuusjulkistusohjelmien kautta. On kuitenkin mahdollista ja myös todennäköistä, että samoja haavoittuvuuksia ovat löytäneet myös tahot, jotka haluavat käyttää niitä vihamielisiin ja rikollisiin tarkoituksiin. Ja jos haavoittuvuus on code execution -tyyppinen voi sitä käyttää esimerkiksi yritykseen tehtävään kohdistettuun hyökkäykseen.

Mistään vaatimattomasta haavoittuvuusmäärästä ei Adoben tuotteiden – esimerkiksi Flashin osalta puhuta. Jos Flash on organisaation työasemissa päivittämättä muutamankin kuukauden ajalta puhutaan helposti kymmenistä paikkausta vailla olevista haavoittuvuuksista.

Pohdimme vakiopäivityspäivän mukanaan tuomia piirteitä vajaa vuosi sitten. Onko Adoben päivityspäivästä tulossa nyt organisaation työasematietoturvapäivitysten hallinnan kannalta entistäkin kriittisempi? Adobe päivittää käytännössä joka päivityksessään Flashia ja Adobe Readeria – juuri nuo ohjelmistot löytyvät lähes jokaisesta työasemasta ja niitä myös käytetään paljon.

Kirjoittajan kesäloma kului kesäteatterinäytöksissä ja maalauspuuhissa maalaismaisemissa kaukana tietokoneesta, mutta seuraten tietoturvakenttää älypuhelimella.

Tarkka ajoitus ja usean hyökkäystekniikan yhdistäminen - nämä toimintamallit ovat nollapäiväaukkoja hyödyntävät verkkorikolliset ottaneet jälleen käyttöönsä. Tästä on erittäin hyvä esimerkki vastikään havaittu Adobe Readerin ja Adobe Acrobatin uusinta versiota koskeva, kirjasintenkäsittelyyn liittyvä haavoittuvuus (CVE-2010-2883).

Valmistaja julkaisee seuraavat vuosiaikataulun mukaiset tietoturvapäivityksensä 13. lokakuuta.

Organisaation kannattaa ottaa uusi haavoittuvuus vakavasti muun muassa seuraavista syistä:

• Tiedossa ei ole, että aikataulun ulkopuolista korjauspäivitystä olisi tulossa. Valmistaja on vasta evaluoimassa korjausaikataulua.

• Hyödyntämiskoodi haavoittuvuudelle on lisätty tunnettuun Metasploit-projektiin. Tämä mahdollistaa uusia hyödyntämistapoja, vaikkakin samalla lisää valmistajan paineita julkaista korjauspäivitys vakioaikataulun ulkopuolella.

• Haittaohjelma osaa läpäistä kaksikin teknologiaa, joilla vihamielisen koodin ajamista pyritään käyttöjärjestelmätasolla estämään. Nyky-Windowseissa näitä ovat Data Execution Prevention (DEP) ja Address Space Layout Randomisation (ASLR).

• Kaikki yleisimmät alustat ovat haavoittuvia. Vielä jokin aikaa sitten organisaation tietoturvayksikkö pystyi rajaamaan riskin esimerkiksi pieneen osaan työasemia, vaikkapa pieneen XP-konekantaansa. Nyt on tilanne toinen.

On myös paljastunut, että haittaohjelman työasemaan kopioimat tiedostot ovat yhdysvaltalaiselta luototusyhtiöltä varastetulla varmenteella allekirjoitettuja. Luotettavan tahon allekirjoittaman varmenteen käytöstähän saatiin kokemuksia aikaisemmin tänä vuonna esimerkiksi Stuxnet-madon yhteydessä.

Jo yksissään kaikkien alustojen alttius riittää soittamaan hälytyskelloja. Joka tapauksessa usean keinon yhdistäminen on merkki verkkorikollisten kiristyneestä kilpajuoksusta tilanteessa, jossa ohjelmistojätteihin kuuluva Adobe on ilmoittanut ottavansa tulevaisuudessa käyttöön vaikkapa Chrome-selaimesta tuttua sandboxing-teknologiaa.

Onko Adobe nyt samassa tilanteessa kuin Microsoft on ollut jo vuosia, eli säännöllisten vakiopäivitysten testejä lopetellessa ja julkaisutiedotteita viimeisteltäessä nurkan takaa tuleekin kriittinen nollapäiväaukko? Tietoturvapäivitysten julkaisun vakioaikatauluista Adobella jouduttiiin poikkeamaan jo viime kuussa.

Onko teidän organisaatiossa olemassa toimintasuunnitelmaa jokaista työasemaa koskettavan nollapäiväaukon löytymiseen?

Kun organisaation jokaisesta työasemasta löytyvästä, paljon käytetystä ohjelmistosta löytyy nollapäiväaukko soisi turvapäivityksen tulevan jakeluun mahdollisimman nopeasti. Joskus paikkausta on kuitenkin odoteltava viikkoja ja kuukausia.

Otetaanpa esimerkiksi viime viikolla havaittu Flash-nollapäiväaukko (CVE-2010-1297), joka koskee myös Adobe Reader -ohjelmistoa. Valmistajahan kertoi haavoittuvuuden aktiivisesta hyödyntämisestä viime perjantaina ja tällä viikolla haavoittuvuutta on hyödynnetty laajemmalti ainakin sähköpostiliitteiden avulla.

Nyt tiedämme Flash-korjauksen tulevan jakeluun tänään torstaina - ilmeisesti illalla Suomen aikaa. Adobe Reader - ja Adobe Acrobat -ohjelmistojen osalta korjaus tulee kuitenkin saataville vasta kuun loppuun mennessä. Kolme viikkoa on pitkä aika odottaa.

Mitä organisaatio voi ja sen kannattaa tehdä turvapäivitystä odottaessa:

• Kartoita onko organisaatiossasi PDF-toiminnallisuutta, joka perustuu JavaScriptin tai Flashin ajamiseen PDF-dokumentissa. Harkitse ominaisuuksien poiskytkemistä PDF-lukijasta - haavoittuvuuksien löytyminen ei rajoitu tähän tuoreimpaan.

• Onko haavoittuvalle ohjelmistolle vaihtoehtoja? PDF-lukijan vaihtaminen ei kuitenkaan ole aivan yksiselitteistä. Mikäli organisaatio käyttää suomenkielisiä toimisto-ohjelmia ja suomenkielistä selainta on esimerkiksi englanninkielisen ohjelmiston tuominen palettiin konstikasta.

• Ota selville onko organisaatioosi jo hyökätty Adobe-aukolla. Virustorjunnan lokeista löytyvät tunnistusnimet, mainittakoon esimerkiksi Exploit:W32/Pidief.CPT, Trojan.Pidief.J ja TROJ_PIDIEF.WX, kielivät tästä. Tarkista myös ovatko selaimen generoimat tietoturvahälytykset lisääntyneet.

Pohdiskelimme tammikuussa isojen ohjelmistovalmistajien siirtymistä vuosineljänneksittäisiin päivityksiin. Ainakin Adoben osalta tämä haavoittuvuus pakotti sen luopumaan säännöllisestä julkaisuaikataulusta.

Tämä tiistai on IT- ja tietoturva-ammattilaisille harvinaisen haastava. Samana päivänä tietoturvapäivityksensä julkaisevat niin Adobe, Microsoft kuin Oraclekin.

Adoben julkaisemat päivitykset ovat vuoden ensimmäisen neljänneksen päivityksiä, Microsoftin päivitykset tammikuun kuukausipäivityksiä ja Oraclen 24 päivitystä taas ensimmäisen neljänneksen CPU-päivityspaketti (Critical Patch Update).

Microsoftin päivityksiä koskevia ennakkotiedotteita on ollut käytettävissä vuoden 2005 alusta, samasta hetkestä jolloin Oracle aloitti neljännesvuosipäivityksensä. Etukäteistiedotteet Oracle otti käyttöön kylläkin vasta myöhemmin.

Uusin etukäteistiedottaja kolmikosta on Adobe, joka aloitti säännölliset päivityksensäkin vasta viime kesänä.

Ennakkotietojen laajuus vaihteleekin sitten jo paljon. Oraclen erityispiirteenä on paikattavien haavoittuvuuksien korkeimman CVSS-arvon kertominen. Tällä kertaa arvo on tuotteiden Listener for Oracle Database Server, Secure Backup ja JRockit kohdalla korkein mahdollinen eli 10.0.

Haittaohjelmien tekijöille lisää aikaa

Kuinka ohjelmistojätit sitten ovat onnistuneet päivitysprosesseissaan? Suoraa vastausta ei kysymykseen ole olemassa, mutta Microsoftille päätös on välillä ollut haasteellinen.

Microsoftilla on nimittäin päätetty jättää kuukausipäivitykset julkaisematta kaikkiaan neljä kertaa: joulukuussa 2003, maalis- ja syyskuussa 2005 sekä maaliskuussa vuonna 2007. Samalla kun päivitysten ennakkotiedote edellisen viikon torstaina kertoo päivityksien kohteet, saavat haavoittuvuuksien hyödyntäjät kuten haittaohjelmien tekijät pahimmassa tapauksessa kuukauden lisäaikaa toimilleen.

Buutti tarvitaan, olkaa valppaina

Päivitysten perusteellinen testaaminen ottaa myös aikansa, ja sitä ehdottomasti täällä Nixussa suosittelemme. Ennakkotiedote kertoo ylläpitäjille mitä ollaan paikkaamassa ja auttaa suunnittelemaan esimerkiksi palvelinten uudelleenkäynnistyksen, kun Microsoft kertoo sen pakolliseksi päivityksen astumiseksi voimaan.

Hyökkääjällä on usein useita hyökkäysvektoreita valittavanaan. Hyökkäys voidaan suunnitella ja oikea hyökkäysvektori valita sitä paremmin mitä enemmän aikaa ennen päivityksen julkaisua on käytettävissä.

Adoben tapauksessa tämä onkin jo nähtävissä. Kun aikaisemmin Acrobat-haavoittuvuuksia hyödynnettiin pitkälti lähinnä ns. kohdennetuissa hyökkäyksissä on päivitystä odotellessa nähty yhä uusia haavoittuvuutta hyödyntäviä hyökkäyksiä. Hyödynnettävä haavoittuvuus on miltei poikkeuksetta joulukuun puolivälissä löytynyt, Adoben tietoturvatiedotteessa APSA09-07 mainittu haavoittuvuus (CVE-2009-4324).

Verkkorikolliset käyttävät aikansa tehokkaasti, koska päivityksen tultua tänään saataville vähenee haavoittuvien kohteiden määrä jatkuvasti. Tieto korjausaikataulustahan saatiin jo joulukuun puolivälissä, ei suinkaan viime torstain ennakkotiedotteen kautta. Hyökkäyskoodi on ollut Metasploitissa jo peräti kuukauden.

Saamaansa lisäaikaa verkkorikolliset käyttävätkin usein kehittämällä exploit- eli hyökkäyskoodista koodinajamiseen kykenevän version.

Säännöllisesti tietoturvapäivityksiä jakavien ohjelmistovalmistajien joukko laajenee Adoben siirtyessä kesän aikana vakioituihin tietoturvapäivityksiin. Muutos koskee Adobe Reader - ja Adobe Acrobat -ohjelmistoja. Käytännössä päivitysten jakelupäivä on kunkin vuosineljänneksen toinen tiistai – heinä- ja lokakuussa siis Microsoftin päivityspäivän kanssa sama päivä.

Tieto käy ilmi tällä viikolla ilmestyneestä blogikirjoituksesta, joka kertoo samalla toimijan panostuksista ohjelmakoodin koventamiseen ja incident response -prosessin parantamiseen. Tietoturvayhteisölle uutinen on hyvä ja odotettu – Microsoft ja Oraclehan aloittivat vastaavan jo vuonna 2005.

On ilo nähdä, että Adobe päätyi tiedottamaan aikataulumuutoksesta etukäteen. Adoben mukaan viime maalis- ja toukokuun päivitysjulkaisujen sijoittuminen samalle päivälle Microsoftin ns. tilkkitiistain kanssa on vain sattuma. Brad Arkinin mukaan päivitykset julkaistiin heti niiden valmistuttua.

Adobe kyllä lupasi huhtikuisten nollapäiväaukkojen päivityksen julkaisun tapahtuvan tiettyyn ajankohtaan eli 12.5. mennessä. Koska tarkkaa ajankohtaa ei kuitenkaan ollut tiedossa oli päätöksen tekeminen esimerkiksi rinnakkaisen tuotteen käyttöönotosta tai PDF-dokumenttien suodatuksen laajuudesta vaikeaa.

On mielenkiintoista nähdä, mitä muiden toimijoiden toimintamalleja Adobe ottaa käyttöön ja millä tarkkuudella se ryhtyy päivityksistä etukäteen tiedottamaan. Yksi merkittävä yksityiskohta olisi ainakin se, julkaistaanko päivitys yhtä aikaa englanninkielisen jakelun lisäksi myös eri kieliversioina.