Partager via


Pari huomiota MS09-001-tiedotteesta

Paria tuohon tiistaina julkistettuun MS09-001-tiedotteeseen liittyvää asiaa on tiedusteltu useammassakin yhteydessä, joten yritän vastailla niihin näin vähän laajemmallekin joukolle:

  • Miksi MS09-001-tiedotteen luokitus on Kriittinen Windows 2000:ssa, Windows XP:ssä ja Windows Server 2003:ssa, mutta vain Keskitaso (Moderate) Windows Vistassa ja Windows Server 2008:ssa?

Luokituksen eroon eri Windows-versioiden välillä vaikuttaa se, että Windows Vistassa ja Windows Server 2008:ssa tiedostojen ja tulostimien jako ei ole oletuksena käytössä - toiminnot tulevat käyttöön ainoastaan, jos käyttäjä ne erikseen ottaa käyttöön. Ja 001-päivityksen taustalla olevia haavoittuvuuksia voidaan hyödyntää ainoastaan, jos tiedostojen ja/tai tulostimien jako on käytössä. Tämän taustalla on tietysti myös noiden luokitusten vaatimukset - jotta joku havoittuvuus on luokitukseltaan kriittinen, pitää sen a) olla hyödynnettävissä etäältä verkon välityksellä hyökkääjän haluaman ohjelmakoodin suorittamiseen (ns. Remote Code Execution -tyyppinen haavoittuvuus), b) komponentin, joka sisältää haavoittuvuuden, pitää olla käytössä oletuskokoonpanossa, ja c) haavoittuvuutta pitää pystyä hyödyntämään ilman käyttäjän toimia (tai kuten nykyään määritelmä kuuluu, minimaalisella ja luonnollisella käyttäjän toiminnoilla). Windows Vistan ja Windows Server 2008:n tapauksessa tuo kohta b) ei toteudu, joten haavoittuvuuskaan ei ole luonteeltaan kriittinen.

Kannattaa myös huomata, että ainoastaan toinen tiedotteen hyökkääjän haluaman ohjelmakoodin sallivista haavoittuvuuksista vaikuttaa Windows Vistassa ja Windows Server 2008:ssa.

  • Miksi haavoittuvuuden hyödyntäminen hyökkääjän haluaman ohjelmakoodin suorittamiseen EI ole Microsoftin mielestä todennäköistä?

Muutama kuukausi sitten lisäsimme tietoturvatiedotteisiin uuden luokituksen, ns. Exploitability Indexin eli hyödynnettävyysluokituksen. Tiedotteen perinteinen luokitushan kertoo jotain haavoittuvuuden luonteesta ja siitä, miten suurella nopeudella ja vakavuudella järjestelmien ylläpitäjien pitää ongelmiin tarttua. Hyödynnettävyysluokitus täydentää tätä enemmänkin haavoittuvuuden hyödyntäjän kannalta - luokitus annetaan kunkin haavoittuvuuden osalta erikseen, ja sen tehtävänä on antaa osviittaa siitä, miten todennäköistä Microsoftin mielestä on rakentaa kyseiseen haavoittuvuuteen luotettavasti toimiva hyödyntämiskoodi.

Kaikkien kolmen MS09-001-tiedotteen haavoittuvuuden osalta hyödynnettävyysluokitus on "3 - Functioning exploit code unlikely" (kts. tuon sivun kohta Exploitability Index), eli Microsoftin mielestä on epätodennäköistä, että haavoittuvuuksiin tulee hyödyntämiskoodia, joka pystyy hyökkääjän haluaman ohjelmakoodin suorittamiseen. Tämän tiedotteen tapauksessa meidän kantamme on, että haavoittuvuuksien hyödyntämisyritykset päätyvät palvelun ja sitä myötä palvelimen tai työaseman kaatumiseen, eikä hyökkääjä pääse suorittamaan haluamaansa ohjelmakoodia.

Moni asiakas on kysellyt, mihin tämän luokituksemme perustamme. 001-tiedotteen osalta perustelut on hyvin dokumentoitu Security Vulnerability Research & Defense -blogin artikkelissa. Tuossa artikkelissa on myös hiukan ohjeita siitä, mitkä järjestelmät tämän perusteella kannattaa päivittää ensimmäiseksi. Päivityshän kannattaa toki asentaa kaikkiin Windows-järjestelmiin. Exploitability Indexin avainsana on "unlikely" - meidän analyysimme perusteella on siis epätodennäköistä tehdä haavoittuvuutta hyödyntävä koodinpätkä, mutta emme väitä, etteikö se ole mahdollista. Ja toisaalta esim. palvelimissa järjestelmän kaatuminenkin on hyvin kiusallista.