Internet Explorer 7 -selaimen haavoittuvuutta hyödyntävissä verkkohyökkäyksissä on käytetty hyökkäysvektorina XML-muotoista Word-asiakirjaa.

Käyttäjälle lähetetään Microsoft Word -muotoinen asiakirja, joka sisältää upotetun ActiveX-kontrollin. Kyseinen ActiveX-kontrolli ottaa yhteyden verkkosivulle, josta varsinainen hyökkäyskoodi ladataan. Mikäli hyökkäys onnistuu lähettää työasemaan tarttunut takaporttitroijalainen tietonsa verkon yli hyökkääjän käyttöön.

Virustorjujien antamat nimet verkkosivuilla esiintyvälle exploit-koodille ovat mm. Mal/JSShell-B- ja W32/Agent.JLA-muotoisia. Word-dokumentti puolestaan tunnistetaan esim. Exploit-MSWord.k-nimellä. Vihamieliseltä verkkosivuilta latautuu työasemaan tiedosto jc.html.

Haavoittuvuutta on viime päivinä käytetty ns. kohdennetuissa hyökkäyksissä.

Kohdennettujen hyökkäyksien havaitseminen on haasteellista, koska tyypillisesti kohteina on korkeintaan muutama henkilö organisaatiosta. Hyökkäykset ovat myös hyvin valmisteltuja ja hienostuneita ja kohdehenkilöstä ja -organisaatiosta on yleensä hankittu runsaasti tietoja etukäteen. Myös asiakirjoissa käytetyt liitetiedostojen nimet ja asiakirjojen aiheet liittyvät yleensä kohdehenkilön työnkuvaan.

Haavoittuvuus korjattiin viime viikolla Microsoftin kuluvan kuun kuukausipäivityksissä MS09-002-tunnuksella. Sen CVE-tunnus on CVE-2009-0075 ja CVSS-arvo 8.5. Teknisesti hyväksikäyttötilanteessa muisti korruptoituu CFunctionPointer-objektin käsittelyssä. Windows-versioista turva-aukko koskee mm. yleisimpiä työasemaversioita XP SP3 ja Vista SP1.

Ohjelmistohaavoittuvuuksia luokittelevassa CWE-luokituksessa se lukeutuu luokkaan CWE-399 eli Resource Management Error.

PCI-tietoisuus on Suomessa jo sillä tasolla, että asiakkaat osaavat vaatia PCI-sertifioituja ratkaisuja toimittajilta ja palveluntarjoajilta. Valitettavasti pelkän PCI:n vaatiminen ei aina kuitenkaan riitä. Nixun tietoon on tullut tapauksia, jossa myyjä on vakuuttanut, että heidän maksupäätejärjestelmänsä täyttää PCI-vaatimukset. Todellisuudessa ratkaisulla on ollut ainoastaan PCI PED -hyväksyntä (Pin Entry Device).

PCI Council hallinnoi tällä hetkellä kolmea PCI-standardia:

PCI PED (maksupäätteen turvallisuus)

PA-DSS (Payment Application Data Security Standard – maksuohjelmiston turvallisuus) – lisää aiheesta voi lukea täältä

PCI DSS (järjestelmien ja prosessien turvallisuus)

Käytännössä Suomessa EMV-hyväksytyillä maksujärjestelmillä on mainittu PCI PED -hyväksyntä, joten sen olemassaolo on pitkälti itsestäänselvyys eikä kilpailuetu. Tilanne PA-DSS:n ja PCI DSS:n suhteen on selvästi huonompi: nämä sertifioinnit puuttuvat vielä hyvin monelta toimittajalta. Erityisesti PCI DSS:n uupuminen toimittajalta vaikeuttaa merkittävästi kauppiaan omaa PCI DSS -vaatimustenmukaisuutta.

Toinen huomionarvoinen seikka on PCI DSS -sertifioinnin kattavuus. Vaikka toimittajalla olisi PCI DSS -sertifiointi ei se vielä tarkoita, että toimittajan koko tarjonta täyttää standardin vaatimukset. Toimittajan sertifiointi voi kattaa vain yhden palvelun, mutta asiakkaalle tarjotaan myös muita palveluja. Ostajan kannattaakin aina varmistaa, mitä toimittajan PCI DSS -sertifiointi oikeasti kattaa ja mikä jää ostajan vastuulle.

Lisäksi kaikki em. sertifioinnit vanhenevat ellei niitä uusita säännöllisesti. Toimittajalta kannattaakin vaatia, että heidän on pidettävä kyseiset sertifioinnit voimassa.

Voimassa olevat PCI PED – ja PA-DSS-sertifoinnit voi tarkistaa PCI Councilin sivuilta. PCI DSS -mukaiset eurooppalaiset palveluntarjoajat voi vastaavasti tarkistaa VISA Europen sivuilta. Luettelo EMV-vaatimusten mukaan sertifioiduista maksupäätejärjestelmistä puolestaan sijaitsee Luottokunnan sivuilla.