Exploit Kit on verkkorikollisten kehittämä tapa levittää haittaohjelmia verkkosivujen kautta. Toimintaketjussa on useita vaiheita, jotka mahdollistavat uhrien ja haittaohjelmien tarkan valinnan sekä haittaohjelmien tehokkaan levityksen. Exploit Kiteiltä suojautuminen noudattaa tuttua linjaa: ohjelmistojen ja virustorjunnan pitää olla ajan tasalla.

Exploit kit on verkkosivusto, jonka tavoitteena on saastuttaa sivustolla vierailija haittaohjelmalla. Kyseessä on siis haittaohjelmanjakelualusta. Exploit kit on nykyään yleinen haittaohjelmien levitystapa roskapostiviestien sisältämien liitteiden ja haitallisille sivustoille johtavien linkkien ohella.

Verkkorikolliset kehittävät jatkuvasti exploit kittejä ja uusia haavoittuvuuksia hyödyntäviä toiminnallisuuksia lisätään nopealla tahdilla niiden julkaisun jälkeen. Tunnetaan myös tapauksia, joissa exploit kit on hyödyntänyt toistaiseksi paikkaamatonta haavoittuvuutta eli niin sanottua nollapäivähaavoittuvuutta (zero-day).

Exploit kit -sivustojen kehittäjät myyvät alustaansa palveluna muille verkkorikollisille. Palveluita mainostetaan verkkorikollisille anonyymeillä keskustelupalstoilla. Palvelua käyttävä verkkorikollinen pyrkii exploit kitin avulla levittämään omaa tai ostamaansa haittaohjelmaa mahdollisimman monelle tietotokoneelle.

Exploit kitin toimintaketju:

1. Verkkosivustolle murtautuminen ja haitallisen uudelleenohjauksen lisääminen

Perusverkkosivustolle murtaudutaan ja murretulle verkkosivulle lisätään ohjelmakoodia, joka ohjaa sivustolla kävijän edelleen exploit kit -sivustolle. Murretuilla verkkosivuilla on usein käytössä sisällönhallintajärjestelmän (esimerkiksi Wordpress, Drupal tai Joomla) päivittämätön versio, jonka haavoittuvuuden avulla murtautuminen on toteutettavissa. Toinen yleinen tapa on uudelleenohjaus haitallisten mainosten kautta.

2. (Valinnainen) Toisen tason uudelleenohjaus ja uhrien valitseminen

Toisen tason uudelleenohjaus ohjaa kävijän varsinaiselle exploit kit -sivulle. Verkkorikollinen voi tässä vaiheessa halutessaan rajoittaa liikennettä exploit kit -sivulle esimerkiksi maakohtaisesti. Toisen tason uudelleenohjausta ei esiinny kaikissa exploit kiteissä.

3. Uhrikoneen teknisten tietojen tarkistaminen

Exploit kit tutkii sivulle päätyvän uhrin käyttöjärjestelmän, selaimen sekä yleisesti käytössä olevat selainliitännäiset (esim. Adobe Flash Player, Oracle Java, Microsoft Silverlight sekä Adobe Reader) ja tarkistaa niiden versionumerot. Exploit kit -sivun lähdekoodi on yleensä tarkoituksella vaikeasti ymmärrettävää (obfuskoitu), jotta sen havaitseminen tietoturvakontrollien avulla olisihankalaa.

4. Uhrin suojausmekanismien selvittäminen

Tietyt exploit kitit pyrkivät myös hyödyntämään tietovuotohaavoittuvuutta (CVE-2013-7331) selvittääkseen kohdejärjestelmään mahdollisesti asennettuja suojausmekanismeja. Mikäli kohdejärjestelmässä havaitaan tiettyjä ohjelmistoja, ei sivusto tarjoakaan haitallista tiedostoa kävijälle.

5. Haittaohjelmaversion valitseminen

Kun exploit kit löytää haavoittuvan ohjelmistoversion, se tarjoaa kävijälle kyseisen version haavoittuvuutta hyödyntävän exploitin.

6. Haittaohjelman lataaminen ja suorittaminen

Haavoittuvuutta hyödyntävä ohjelmakoodi suoritetaan haavoittuvassa ohjelmassa, jolloin ohjelman avulla ladataan ja suoritetaan varsinainen haittaohjelma.

Kuva 1. Exploit kitin vaiheet. Kuvaa klikkaamalla aukeaa tarkempi kuva.

Katso myös aiemmat haittaohjelmia koskevat [Teema]-artikkelit:

[Teema] Älä panikoi, näin pääset eroon haittaohjelmasta, 13.10.2014

[Teema] Haittaohjelmien toimintaperiaatteet, tarttuminen ja niiltä suojautuminen, 10.2.2015

[Teema] Haittaohjelma saattaa varastaa tietoja tai louhia virtuaalivaluuttaa, 18.2.2015

Yritysten maksunvälityksessä käytetystä maksunvälitysohjelmistosta on löydetty kaksi haavoittuvuutta. Haavoittuvuuksien hyväksikäyttö vaatii pääsyn yrityksen sisäverkkoon.

Basware Maksuliikenne -ohjelmisto on yritysten maksunvälityksessä käytetty ohjelmisto. Siitä on löydetty kaksi haavoittuvuutta. Haavoittuvuuksista ensimmäinen (CVE-2015-0943) voi mahdollistaa luottamukselliseen tietoon pääsyn tai tietojen muuttamisen yhteyden salauksen puutteen vuoksi.

Toisen haavoittuvuuden (CVE-2015-0942) avulla voi olla mahdollista ohittaa joitakin järjestelmän pääsynhallintaan liittyviä suojauksia. Tyypillisessä asennuksessa ohjelmistoon ei sallita pääsyä julkisesta verkosta, mikä pienentää haavoittuvuuksien muodostamaa riskiä.

Haavoittuvuuskoordinointi

Haavoittuvuudet löysi Samuel Lavitt. Kyberturvallisuuskeskus kiittää häntä ja Baswarea koordinointiin osallistumisesta.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

• Ilman kirjautumista
• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Tietojen muokkaaminen
• Luottamuksellisen tiedon hankkiminen
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys
• Ongelman rajoittaminen
• Ei päivitystä

Haavoittuvat ohjelmistot:

Basware Maksuliikenne 8.90.1.0 ja sitä vanhemmat versiot

Ratkaisu- ja rajoitusmahdollisuudet:

Pääsynhallintaan liittyvään haavoittuvuuteen (CVE-2015-0942) on saatavilla päivitys. Varmista, että ohjelmisto on päivitetty valmistajan ohjeiden mukaisesti versioon 8.90.5.0 tai sitä uudempaan versioon.

Salaukseen liittyvään haavoittuvuuteen (CVE-2015-0943) ei ole vielä saatavilla korjausta. Yhteyden salaus on mahdollista toteuttaa erillisellä ratkaisulla valmistajan ohjeiden mukaisesti. Salauksen käyttöönoton jälkeen on syytä harkita ohjelmistossa käytettyjen kredentiaalien vaihtamista.

Haavoittuvuuksien vaikutuksia voidaan rajoittaa rajaamalla pääsy ohjelmistoon vain sallituilta työasemilta.

Lisätietoa:

•  
• CVE-2015-0942
• CVE-2015-0943
•  

Haavoittuvuuskoordinoinnin yhteystiedot

FREAK-haavoittuvuus vaikuttaa myös Microsoft Windows -käyttöjärjestelmien Secure Channel -salauskirjastoon. Toistaiseksi haavoittuvuuteen ei ole saatavilla korjauspäivitystä.

Microsoft on ilmoittanut, että myös Windows-käyttöjärjestelmän käyttämä Secure Channel (SChannel) -salauskirjasto on haavoittuvainen FREAK-haavoittuvuudelle. Haavoittuvuus koskee kaikkia Windows-versioita. Korjauspäivitystä ei ole toistaiseksi saatavilla, mutta Microsoft on julkaissut ohjeita korjaavista toimenpiteistä. Windows Server 2003 -käyttöjärjestelmässä ei ole mahdollista toteuttaa korjaavia toimenpiteitä.

Lisätietoa:

• https://technet.microsoft.com/library/security/3046015

Päivityshistoria

06.03.2015 klo 11:04