Mai lõpus avastati ühest analüüsikeskkonnast pahaloomuline Wordi dokument. Dokumendi uurimise käigus selgus, et see võimaldab ründajale pahavara käivitanud kasutaja õigustes koodi kaugkäitust mõjutatud Windowsi operatsioonisüsteemidest, seisab riigi infosüsteemi ameti blogis.
Dokumendi tegi eriliseks aga asjaolu, et pahaloomulise koodi käivitamiseks kasutati legitiimset Windowsi tööriista (Microsoft Diagnostic Tool). Tegu oli turvanõrkusega, mille jaoks väljastas Microsoft 30. mail ametliku hinnangu. Turvapaiga paikamiseni kulus siiski ligi kaks nädalat. Ohustatud on kõik kasutajad, kes kasutavad Microsoft Office 2013, 2016, 2019 ja 2021 tarkvara ning paikamata Windowsi operatsioonisüsteeme, mis saavad veel turvauuendusi.
Juhtumid Eestis ja maailmas
Turvanõrkust üritatakse hetkel maailmas aktiivselt kuritarvitada. Mitmel juhul on sihtmärkideks valitud Euroopa ja USA ametiasutused ning mitmed riikidega seostatavad küberrühmitused on üritanud seda ära kasutada. Ründekatseid on märganud näiteks ka Ukraina CERT. Samuti üritatakse turvanõrkuse abil ohvrite seadmetesse paigaldada Qakboti (Qbot) pahavara, mille abil varastatakse kasutajatunnuseid ja meilivestluseid. Suure tõenäosusega jätkatakse turvanõrkuse ärakasutamise katseid ka tulevikus
CERT-EEle ei ole siiani teada ühtegi juhtumit, mille puhul oleks pahalastel õnnestunud Eesti küberruumis seda turvanõrkust kuritarvitada. Siiski juhitakse tähelepanu sellele, et pahavara käivitamine ei eelda makrode kasutamist ega teatud tingimustel isegi pahaloomulise faili avamist. Microsoft väljastas 14. juunil mõjutatud süsteemidele ametliku turvapaiga.
RIA tuletab kasutajatele meelde, et hoolimata erinevatest kaitsemeetmetest, tuleb olla kahtlaste kirjade puhul väga ettevaatlik. Paraku ei suuda viirusetõrjetarkvarad tuvastada kõiki erinevaid pahavarade versioone, mida ründajad kasutavad. Arvestades lisaks, kui laialdaselt Microsoft Office’i tooteid Eestis kasutatakse, kujutab turvanõrkus potentsiaalset ohtu nii tavakasutajatele kui ka erinevatele organisatsioonidele Eestis.
Ühe võimaliku ründe iseloomustus:
- Kasutaja saab kirja, mille manusesse on lisatud pahaloomuline dokument.
- Kasutaja laeb selle alla enda lokaalsesse süsteemi.
- Pahavara käivitamiseks ohvri masinas on kaks võimalust ning see sõltub sellest, kuidas ründaja on asjale lähenenud: A) Ohver laadis alla Wordi dokumendi, avab selle ja lubab redigeerimise. Kuna pahavara ei kasuta makrosid, siis käivitatakse see juba redigeerimise lubamisel (vt Pilt1, Pilt2). B) Ohver laadis alla pahaloomulise RTF faili. Ta liigub süsteemis faili allalaadimiskausta ja teeb faili aktiivseks. Selle tagajärjel käivitub pahavara, kui kasutatakse eelvaatepaani (preview pane)
Soovitused
- Rakendage esimesel võimalusel väljastatud turvapaik mõjutatud süsteemidele. Kui süsteemides on automaatne uuendamine lubatud, ei pea turvapaika manuaalselt installeerima.
- Kui teie organisatsioon on veendunud, et RTF failid ei ole teile vajalikud, soovitame meilifiltrite abil sellised kirjad blokeerida, mille manusesse on RTF failid lisatud.
- Microsoft on avalikustanud alternatiivse vastumeetme, millega enda süsteeme selle turvanõrkuse eest kaitsta. Soovitame sellega tutvuda, hinnata rakendamise võimalikkust ja võimalusel seda kasutada, kui turvapaiga rakendamine ei ole võimalik.
- Koolitada enda organisatsiooni töötajaid mitte salvestama ega avama kahtlaste kirjade manuseid, vaid need kustutama või suunama sellised kirjad infoturbeosakonda. Kui selline võimalus puudub, aitab CERT-EE alati kahtlaste kirjade analüüsimisega.
Ärigeeniuse uudised sinu postkastis Ärigeeniuse uudiskiri toob sinuni valiku nädala olulisematest äriteemadest, põnevad persoonilood ja ekspertide soovitused.
