Lue uutinen mobiilisivustolla

Ensimmäiset madot tunkevat uusista Windows-aukoista

28.4.2004 08:49 Verisignin asiantuntijoiden mukaan Windows-käyttöjärjestelmien pct-haavoittuvuutta hyödyntävä mato on lähtenyt leviämään. Sans-instituutin hälytyskeskus puolestaan kertoi uuden Phatbot-troijalaisen sisältävän lsass-haavaa hyödyntävän hyökkäyskoodin.

Windows-haavoittuvuuksille viime päivinä julkaistut hyväksikäyttökoodit vaikuttavat ennusteiden mukaan johtavan matojen leviämiseen haavoittuvissa järjestelmissä.

Ensimmäinen matohavainto liittyy Windows-järjestelmien Secure Socket Layer -kirjaston (ssl) private communications transport -protokollatoteutuksen (pct) puskurinylivuotoaukkoon.

Tulilinjalla ovat lähinnä ssl-autentikointia käyttävät Microsoft ISS -palvelimet, mutta haavoittuvuus altistaa periaatteessa kaikki ssl-kirjastoa hyödyntävät Microsoftin ohjelmistot. Windows-järjestelmistä alttiita ovat Windows NT, -XP, 2000 ja 2003, joista XP:n ja 2000:n kohdalla luokitus on kriittinen.

Verisign varoittaa pct-madosta

Viime viikolla aukolle julkaistun hyökkäyskoodin käytöstä on jo saatu runsaasti havaintoja. Verisignin tietoturvakeskuksen mukaan havaintojen laajuus viittaa jo madon leviämiseen.

- Hyökkäyset ovat liian kuormittavia ja säännöllisiä ollakseen muun kuin madon aiheuttamia, Verisignin tietoturvajohtaja Jerry Brady sanoi eWeek-palvelulle tiistaina.

Brady sanoi, että hän ei usko krakkereiden pystyvän hyökkäystyökaluilla näin taajaan tahtiin. Hänen mukaansa valtaosaa yhtiön hallinnoimista Microsoft IIS -palvelimista vastaan on hyökätty.

Toistaiseksi Verisign on kuitenkin yksin pct-madon havaintojen kanssa; vastaavia varoituksia ole muilta vielä saatu.

Lsass-aukko ja Phatbot

SANS-instituutin Internet Storm Center puolestaan varoitteli tiistaina toisen vakavan Windows-haavan joutuneen myös hyökkäyksen kohteeksi. ISC kertoi saaneensa havaintoja, joiden mukaan Phatbot-bottiperheen uusin variantti hyödyntäisi lsass-palvelun reikää.

ISC:n vuorossa oleva valvojan Tom Listonin mukaan ensimmäiset havainnot haittaohjelmasta saatiin maanantai-iltana useista .edu-domaineista. Havaittu haittaohjelma vaikutti perineen Phatbot-troijalaisperheen ominaisuudet, Liston kertoi.

Maanantaina SANS kertoi haavoittuvuudelle julkaistusta hyväksikäyttömenetelmästä, joka tehosi ainakin Windows 2000 sp3- ja sp4-järjestelmiin. Lsass-aukko on luokiteltu kriittiseksi myös Windows XP -koneiden kohdalla.

Microsoft paikkasi sekä pct/ssl- että lsass-haavoittuvuuden 14. huhtikuuta. Yhtiön kolme tietoturvatiedotetta koskivat yhteensä 20 aukkoa Windows-järjestelmissä.

Jaakko Kuivalainen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Hyvinkään epäilty ampuja poistui kesken illanvieton hakemaan aseita

• Hyvinkään ampumisista epäiltyä luonnehditaan ujoksi ja hiljaiseksi
• Epäilty ampuja yöllä Facebookissa: "Oli kivaa toverit"
• Hyvinkään epäillyn ampujan motiivi yhä hämärän peitossa
• Ruotsin Loreen Euroviisujen ylivoimaiseen voittoon