TigerTeam - suomalainen tietoturvablogi

Tämä tiistai on IT- ja tietoturva-ammattilaisille harvinaisen haastava. Samana päivänä tietoturvapäivityksensä julkaisevat niin Adobe, Microsoft kuin Oraclekin.

Adoben julkaisemat päivitykset ovat vuoden ensimmäisen neljänneksen päivityksiä, Microsoftin päivitykset tammikuun kuukausipäivityksiä ja Oraclen 24 päivitystä taas ensimmäisen neljänneksen CPU-päivityspaketti - Critical Patch Update.

Microsoftin päivityksiä koskevia ennakkotiedotteita on ollut käytettävissä vuoden 2005 alusta, samasta hetkestä jolloin Oracle aloitti neljännesvuosipäivityksensä. Etukäteistiedotteet Oracle otti käyttöön kylläkin vasta myöhemmin.

Uusin etukäteistiedottaja kolmikosta on Adobe, joka aloitti säännölliset päivityksensäkin vasta viime kesänä.

Ennakkotietojen laajuus vaihteleekin sitten jo paljon. Oraclen erityispiirteenä on paikattavien haavoittuvuuksien korkeimman CVSS-arvon kertominen. Tällä kertaa arvo on tuotteiden Listener for Oracle Database Server, Secure Backup ja JRockit kohdalla korkein mahdollinen eli 10.0.

Haittaohjelmien tekijöille lisää aikaa

Kuinka ohjelmistojätit sitten ovat onnistuneet päivitysprosesseissaan? Suoraa vastausta ei kysymykseen ole olemassa, mutta Microsoftille päätös on välillä ollut haasteellinen.

Microsoftilla on nimittäin päätetty jättää kuukausipäivitykset julkaisematta kaikkiaan neljä kertaa: joulukuussa 2003, maalis- ja syyskuussa 2005 sekä maaliskuussa vuonna 2007. Samalla kun päivitysten ennakkotiedote edellisen viikon torstaina kertoo päivityksien kohteet saavat haavoittuvuuksien hyödyntäjät eli esimerkiksi haittaohjelmien tekijät pahimmassa tapauksessa kuukauden lisäaikaa toimilleen.

Buutti tarvitaan, olkaa valppaina

Päivitysten perusteellinen testaaminen ottaa myös aikansa, ja sitä ehdottomasti täällä Nixussa suosittelemme. Ennakkotiedote kertoo ylläpitäjille mitä ollaan paikkaamassa ja auttaa suunnittelemaan esimerkiksi palvelinten uudelleenkäynnistyksen, kun Microsoft kertoo sen pakolliseksi päivityksen astumiseksi voimaan.

Hyökkääjällä on usein useita hyökkäysvektoreita valittavanaan. Hyökkäys voidaan suunnitella ja oikea hyökkäysvektori valita sitä paremmin mitä enemmän aikaa ennen päivityksen julkaisua on käytettävissä.

Adoben tapauksessa tämä onkin jo nähtävissä. Kun aikaisemmin Acrobat-haavoittuvuuksia hyödynnettiin pitkälti lähinnä ns. kohdennetuissa hyökkäyksissä on päivitystä odotellessa nähty yhä uusia haavoittuvuutta hyödyntäviä hyökkäyksiä. Hyödynnettävä haavoittuvuus on miltei poikkeuksetta joulukuun puolivälissä löytynyt, Adoben tietoturvatiedotteessa APSA09-07 mainittu haavoittuvuus (CVE-2009-4324).

Verkkorikolliset käyttävät aikansa tehokkaasti, koska päivityksen tultua tänään saataville vähenee haavoittuvien kohteiden määrä jatkuvasti. Tieto korjausaikataulustahan saatiin jo joulukuun puolivälissä, ei suinkaan viime torstain ennakkotiedotteen kautta. Hyökkäyskoodi on ollut Metasploitissa jo peräti kuukauden.

Saamaansa lisäaikaa verkkorikolliset käyttävätkin usein kehittämällä exploit- eli hyökkäyskoodista koodinajamiseen kykenevän version.

Säännöllisesti tietoturvapäivityksiä jakavien ohjelmistovalmistajien joukko laajenee Adoben siirtyessä kesän aikana vakioituihin tietoturvapäivityksiin. Muutos koskee Adobe Reader - ja Adobe Acrobat -ohjelmistoja. Käytännössä päivitysten jakelupäivä on kunkin vuosineljänneksen toinen tiistai – heinä- ja lokakuussa siis Microsoftin päivityspäivän kanssa sama päivä.

Tieto käy ilmi tällä viikolla ilmestyneestä blogikirjoituksesta, joka kertoo samalla toimijan panostuksista ohjelmakoodin koventamiseen ja incident response -prosessin parantamiseen. Tietoturvayhteisölle uutinen on hyvä ja odotettu – Microsoft ja Oraclehan aloittivat vastaavan jo vuonna 2005.

On ilo nähdä, että Adobe päätyi tiedottamaan aikataulumuutoksesta etukäteen. Adoben mukaan viime maalis- ja toukokuun päivitysjulkaisujen sijoittuminen samalle päivälle Microsoftin ns. tilkkitiistain kanssa on vain sattuma. Brad Arkinin mukaan päivitykset julkaistiin heti niiden valmistuttua.

Adobe kyllä lupasi huhtikuisten nollapäiväaukkojen päivityksen julkaisun tapahtuvan tiettyyn ajankohtaan eli 12.5. mennessä. Koska tarkkaa ajankohtaa ei kuitenkaan ollut tiedossa oli päätöksen tekeminen esimerkiksi rinnakkaisen tuotteen käyttöönotosta tai PDF-dokumenttien suodatuksen laajuudesta vaikeaa.

On mielenkiintoista nähdä, mitä muiden toimijoiden toimintamalleja Adobe ottaa käyttöön ja millä tarkkuudella se ryhtyy päivityksistä etukäteen tiedottamaan. Yksi merkittävä yksityiskohta olisi ainakin se, julkaistaanko päivitys yhtä aikaa englanninkielisen jakelun lisäksi myös eri kieliversioina.

Jeremiah Grossman pohdiskeli viikonloppuna blogissaan yleisimpiä syitä siihen, miksi web-sivustoilta löytyneitä haavoittuvuksia ei korjata.

Hänen listaamiaan syitä ovat mm. seuraavat (ei tärkeys- tai yleisyysjärjestyksessä):

• Organisaatiosta ei löydy henkilöä, jolla on ymmärrystä tai vastuu sivuston koodin ylläpitämisestä

• Sivuston omainaisuuksien säilyttämistä pidetään turvakorjauksia tärkeämpänä

• Sivusto tullaan uusimaan piakkoin

• Haavoittuvan koodin omistaa kolmas osapuoli

Grossmanin mukaan on myös yleistä, että riski sivuston murtamisesta yksinkertaisesti hyväksytään tai organisaation compliance-vaatimukset eivät vain vaadi haavoittuvuuksien korjaamista.

Kaikkein ikävin tilanne on kirjoituksessa viimeksi mainittu tilanne, jossa koko organisaatiosta ei löydy tapauksesta tietävää tai tapauksen vastuulleen ottavaa henkilöä.

Tunnetun tietoturvavaikuttajan ja mm. WASC-konsortion perustajiin kuuluvan Grossmanin pohdiskelu herättää paljon mietittävää. Kirjoituksen kommentteihin jätetty havainto priorisoinnin vaikeudesta on arkipäivää myös Suomen oloissa. Nixun konsultit kohtaavat usein tilanteita, joissa organisaatio ei ole tietoinen kaikista palvelimilta löytyvistä web-sovelluksista. Sovelluksen olemassaolo paljastuu siis vasta kun tietoturvatarkastuksessa löydetään sovelluksesta haavoittuvuuksia.

Mitenkään tavaton ei ole tilanne, jossa tätä kautta organisaation tietoon tulleesta sovelluksesta ovat haavoittuvuudet olleet korjaamatta vuosikausia.

Kerroimme viime viikon lopulla Adobe Acrobatia ja Adobe Readeria koskevista nollapäivähaavoittuvuuksista. Valmistaja vahvisti viikonloppuna paikkauksen julkaisuaikataulun – korjaus saapuu 12. toukokuuta mennessä eli noin viikon kuluttua.

Myös CVE-tunnukset noille kahdelle haavoittuvuudelle on julkaistu. getAnnots()-haavoittuvuus on CVE-2009-1492 ja customDictionaryOpen()-haavoittuvuus taas CVE-2009-1493.

Jokainen haavoittuvuuksiin vähänkin enemmän perehtynyt on törmännyt Common Vulnerabilities and Exposures -yhtenäistystunnuksiin, joita jaetaan tuhansia vuosittain. Tunnuksille annetaan pienellä viiveellä myös sen vakavuutta kuvaava numeroarvo asteikolla 0.0 – 10.0. Pisteytysjärjestelmä tuntee nimen Common Vulnerability Scoring System ja siitä käytetään lyhennettä CVSS. Voidaan puhua myös CVSS-pisteytyksestä.

NVD- eli National Vulnerability Database -tietokannan sisältämä ensin mainitun haavoittuvuuden CVSS-arvo on korkeimpaan High-luokkaan kuuluva 9.3.

Haavoittuvuuksille on jo parin vuoden ajan annettu myös haavoittuvuuden aiheuttaneen ohjelmointivirheen tyyppiä kuvaava CWE-luokitus – Common Weakness Enumeration. Luokka on tässä tapauksessa järjestelmäresurssien hallinnassa tapahtunut virhe tunnuksella 399.

Edellä mainituista jälkimmäinen Adobe Acrobat -aukko eli käyttäjän omiin sanastoihin liittyvä haavoittuvuus puolestaan kuuluu CVSS-arvonsa perusteella keskitasolle arvolla 6.8.

Käytämme CVE-, CVSS- ja CWE-tunnuksia ja -arvoja myös toimittamissamme raporteissa.

Uusia CVE-tunnuksia julkaistaan päivittäin ja samalla haavoittuvuudet saavat CVSS-arvon. CWE-lista taas päivittyi uuteen 1.3-versioon maaliskuussa.