Video: Moment: JPEG vs RAW vs TIFF - What's The Difference? (Marraskuu 2024)
Microsoft paljasti kriittisen nollapäivän haavoittuvuuden, kun Microsoft Windowsin ja Officein vanhemmat versiot käsittelevät TIFF-kuvamuotoa tällä viikolla. Vaikka virhettä hyödynnetään aktiivisesti luonnossa, yhtiön mukaan korjaustiedosto ei ole valmis ensi viikon Patch Tiistai -julkaisuun.
Vian (CVE-2013-3906) avulla hyökkääjät voivat suorittaa koodin etäkäyttöön kohdekoneella huijaamalla käyttäjiä avaamaan tiedostoja erityisen muotoilluilla TIFF-kuvilla, Microsoft sanoi. Kun käyttäjä avaa hyökkäystiedoston, hyökkääjä saa samat oikeudet ja etuoikeudet kuin kyseinen käyttäjä. Tämä tarkoittaa, että jos käyttäjällä on järjestelmänvalvojan tili, hyökkääjä voi saada koneeseen täydellisen hallinnan. Jos käyttäjällä ei ole järjestelmänvalvojan oikeuksia, hyökkääjä voi aiheuttaa vain rajoitetun vahingon.
Testauslaboratorio AV-TEST on tunnistanut ainakin kahdeksan DOCX-asiakirjaa, jotka on upotettu näihin hyökkäyksissä parhaillaan käytettäviin haitallisiin kuviin.
Vaikuttava ohjelmisto
Haavoittuvuus on kaikissa Lync-kommunikaattoripalvelun, Windows Vistan, Windows Server 2008: n ja joidenkin Microsoft Office -versioiden versioissa. Kaikki Office 2003: n ja 2007: n asennukset ovat vaarassa riippumatta siitä, mihin käyttöjärjestelmään Suite on asennettu. Vaikutus Office 2010: ään on vain, jos se on asennettu Windows XP: hen tai Windows Server 2008: een, Microsoft sanoi. Vaikuttaa siltä, että Office 2007 on ainoa tällä hetkellä aktiivisessa hyökkäyksessä, neuvojen mukaan.
"Jopa 37 prosenttia Microsoft Office -käyttäjistä on alttiita tälle nollapäivän hyväksikäytölle", kertoi Websensen turvallisuustutkimuksen johtaja Alex Watson.
Tämä viimeisin nollapäivä on hyvä esimerkki siitä, kuinka vanhojen ohjelmistoversioiden heikkoudet voivat altistaa organisaatiot vakaville hyökkäyksille. Käyttäjien ei pitäisi edelleenkään käyttää Office 2003: ta, Office 2007: tä, Windows XP: tä ja Windows Server 2003: ta, koska he ovat niin vanhoja. "Jos poistaisit kyseisen ohjelmiston, tätä 0-päivää ei olisi olemassa", kertoi Tripwiren turvallisuustutkimuksen ja -kehityksen tekninen johtaja Tyler Reguly. Näiden sovellusten ikä huomioon ottaen organisaatioiden ja käyttäjien olisi pitänyt olla päivitetty jo nyt.
Hyökkäykset luonnossa
Vaikka luonnossa tapahtuu iskuja, on tärkeää muistaa, että tähän mennessä suurin osa hyökkäyksistä on keskittynyt Lähi-itään ja Aasiaan. Microsoft ilmoitti alun perin, että kyseessä oli "kohdennettuja hyökkäyksiä, jotka yrittävät hyödyntää tätä haavoittuvuutta", ja AlienVaultin, FireEye: n ja Symantecin tietoturvatutkijat ovat tunnistaneet useita hyökkäysryhmiä, jotka jo käyttävät haavoittuvuutta kampanjoidensa edistämiseksi.
Toukokuussa tunnistettu vakoilun keskittyneen operaation Hangover-ryhmä näyttää käyttävän tätä virhettä tiedonkeruutoimien edistämiseksi, FireEye sanoi blogissaan. AlienVault Labsin johtaja Jaime Blasco kertoi, että hyväksikäyttöä käytetään Pakistanin tiedustelupalvelun ja armeijan kohdentamiseen. Toinen hyökkäysryhmä, FireEye-tutkijoiden nimeksi Arx, käyttää hyväksikäyttöä Citadel-pankki-troijalaisen levittämiseen.
Ratkaisun asentaminen
Vaikka korjaustiedosto ei ole valmis ensi viikolla, Microsoft on julkaissut väliaikaisen korjaustoimenpiteen FixIt-ongelman ratkaisemiseksi. Jos sinulla on haavoittuva ohjelmisto, sinun tulee ottaa FixIt käyttöön heti. FixIt poistaa käytöstä TIFF-kuvien käytön, mikä ei ehkä ole vaihtoehto joillekin käyttäjille ja yrityksille, Tripwiren Reguly totesi.
TIFF-muodossa työskentelevät web-kehittäjät, graafiset suunnittelijat ja markkinoinnin ammattilaiset saattavat löytää kykynsä tehdä työtä tämän FixIt-muodon kanssa, Reguly varoitti. Turvallisuusammattilaisilla voi olla vaikeuksia perustella FixIt-järjestelmän käyttöönoton tarpeellisuutta organisaatioissa, jotka työskentelevät paljon korkealaatuisten kuvien kanssa.
"Se asettaa ihmiset vaikeaseen tilanteeseen estää uusi haavoittuvuus tai tehdä työnsä", Reguly sanoi.
Organisaatiot voivat myös asentaa Microsoftin tietoturvatyökalupaketin EMET (Enhanced Mitigation Experience Toolkit), koska se estää hyökkäyksen toteuttamisen, kirjoitti Microsoftin tietoturvakeskuksen Elia Florio, blogin viesti.
Monet viruksentorjunta- ja tietoturvapaketit ovat jo päivittäneet allekirjoituksensa havaitakseen tätä haavoittuvuutta hyödyntäviä haitallisia tiedostoja, joten sinun on myös varmistettava, että myös tietoturvaohjelmisto on päivitetty. Kuten aina, ole erityisen varovainen avatessasi tiedostoja, joita et ole nimenomaisesti pyytänyt, tai napsauttamalla linkkejä, jos et tiedä lähdettä.