Tietoturvatiedotteet

Etätyöpöytäratkaisun kriittinen BlueKeep-haavoittuvuus vaatii kiireellistä päivittämistä vanhemmissa Windows-versioissa

Viime viikolla Microsoft julkaisi Remote Desktop Service (RDS) etätyöpöytäratkaisuun liittyvän kriittiseen haavoittuvuuden. Useat tietoturvaorganisaatiot ovat kehittäneet haavoittuvuuden havainnollistavia esimerkkikoodeja (PoC). Haavoittuvuuden hyväksikäytöstä ei ole vielä toistaiseksi havaintoja, mutta sen hyväksikäyttöä tietomurroissa pidetään lähinnä ajan kysymyksenä. Haavoittuvuuteen on olemassa päivitys, jonka käyttöönottoa suositellaan voimakkaasti.

Vanhempien Windowsien etätyöpöytäyhteyksiin liittyvissä RDS-ratkaisussa havaittiin toukokuun puolessa välissä kriittinen haavoittuvuus. Nykyään BlueKeep-nimellä tunnettua haavoittuvuutta hyväksikäyttämällä hyökkääjällä on mahdollisuus suorittaa koodia kohdejärjestelmässä lähettämällä siihen haitallinen viesti RDP:llä. Tämän voi tehdä ennen RDP-palveluun tunnistautumista, eikä haavoittuvuuden hyväksikäyttö vaadi kohdejärjestelmän käyttäjältä toimenpiteitä. Näin ollen haavoittuvuutta hyväksikäyttämällä on mahdollista tehdä automaattisesti leviäviä haittaohjelmia. Haavoittuvuus ei koske uusimpia käyttöjärjestelmiä, kuten Windows 10, Windows Server 2012 ja Windows Server 2016. 

Haavoittuvuuden hyväksikäytöstä tietomurroissa ei ole vielä viitteitä. Useat tietoturvatoimijat ovat testanneet haavoittuvuuden hyväksikäyttöä kehittämällä haavoittuvuutta hyödyntävän esimerkkikoodin (PoC). Esimerkkikoodin kehittäminen osoittaa haavoittuvuuden hyväksikäyttömahdollisuuden. On todennäköistä, että haavoittuvuutta tullaan käyttämään hyväksi tietomurroissa lähiaikoina.

Kyberturvallisuuskeskus on julkaissut aiheesta haavoittuvuustiedotteen.
Suosittelemme voimakkaasti haavoittuvien järjestelmien välitöntä päivittämistä tai muita korvaavia suojauskeinoja. Lisäksi on syytä selvittää avoimesti internetiin kytkettyjen etätyöpöytäratkaisujen tarpeellisuus. Avoimet etätyöpöytäratkaisut tarjoavat hyökkääjille mahdollisuuden järjestelmään tunkeutumiseen.  

Lisää tietoa haavoittuvuudesta löytyy Microsoftin Blokista , haavoittuvuustiedotteesta sekä  päivitysohjeista.

 

Lue lisää

Palkanlaskijoihin kohdistettu sähköpostihuijaus yleistynyt Suomessa

Tunnisteet: sähköpostihuijaus, toimitusjohtajahuijaus

Palkanlaskentaan kohdistuva toimitusjohtajahuijausten kaltainen sähköpostihuijaus on yleistynyt viime viikon aikana Suomessa. Huijauksessa yritetään vaihtaa organisaation työntekijän palkanmaksun tilitiedot hyökkääjän tiliksi.

Kyberturvallisuuskeskus on saanut muutaman päivän sisällä useamman ilmoituksen huijausyrityksestä, joissa eri organisaatioiden palkanlaskijoita on lähestytty väärennetyillä sähköpostiviesteillä. Viestien sisältönä on ollut pyyntö muuttaa jonkin organisaatiossa töissä olevan henkilön tilitietoja työntekijän palkan ohjaamiseksi väärälle tilille.

Viestin lähettäjän nimenä näkyy sen työntekijän nimi, jonka tilitietoja yritetään vaihtaa. Sähköpostiosoitteen loppuosa ei kuitenkaan ainakaan toistaiseksi ole vastannut organisaation nimeä. Viestit ovat kirjoitettu kohtuullisen ymmärrettävällä suomen kielellä. Esimerkki huijausviestistä löytyy myöhemmin tästä artikkelista. Jos huijausviestiin vastaa, hyökkääjä lähettää vastauksena uudet tilitiedot.

Kyberturvallisuuskeskus suosittelee vahvasti ohjeistamaan asiasta organisaation henkilöstöhallintoa sekä palkanmaksusta vastaavia tahoja. Tilitietojen muutoksia varten kannattaa suunnitella erillinen vahvistusprosessi, jolla saadaan todennettua aito muutospyyntö ja erotettua se huijausyrityksestä.

Esimerkkiviesti:

Hei N.N (palkanlaskijan nimi),

Minulla on uusi pankkitili ja haluaisin muuttaa palkkashekkini pankkitietoja. Voiko muutos tulla voimaan nykyisellä palkkakierroksella?

Parhain terveisin,
N.N (kohdeorganisaatiossa työskentelevän henkilön nimi)

Jos olette törmänneet vastaavaan toimintaan, pyydämme laittamaan mahdollisia havaintoja ja saatuja tilitietoja meille vinkkinä, esimerkiksi sähköpostitse osoitteeseen cert@traficom.fi tai ilmoituslomakkeemme kautta osoitteesta https://www.kyberturvallisuuskeskus.fi/fi/ilmoita

Lue lisää

Organisaatio! Torju Office 365 -tunnusten kalastelu oppaamme avulla

Tunnisteet: phishing, tietomurto, traficom

Sitkeä Microsoft Office 365 -käyttäjätunnusten kalastelu ja varastelu koskee monia kotimaisia organisaatioita. Uhkan torjumista ja siltä suojautumista varten olemme koonneet kattavan oppaan: Suojautuminen Microsoft Office 365 -tunnusten kalastelulta ja tietomurroilta. Oppaamme on tarkoitettu organisaatioiden ylläpidosta ja tietoturvasta vastaaville, yritysjohtoa ja tietosuojavastaavia unohtamatta.

sähköpostihuijaus kaaviona

Office 365 -tietojenkalastelun takana ovat verkkorikolliset. Yksinkertaisimmillaan kalastelu tapahtuu sähköpostitse, kun verkkorikollinen lähettää kalasteluviestin mahdollisimman usealle vastaanottajalle. Hyvin todennäköisesti joku tuhansista huijausviestin saaneista erehtyy antamaan tietonsa. Kalastelu voi olla myös kohdennettua, jolloin hyökkääjä haluaa käyttöönsä esimerkiksi IT-ylläpitotunnukset, joiden avulla hän voi tehdä laajaa tuhoa. 

Varsinaisista kalasteluviesteistä on erittäin vaikea päästä eroon, mutta tietojenkalastelun vaikutuksia voi rajoittaa merkittävästi tai suojaustoimin jopa kokonaan estää. Muun muassa monipuoliset suojaukset, lokituksen seuranta, päätelaitteiden hallinta ja henkilöstön koulutus ovat avaintekijöitä suojautumisessa. 

Miten suojautua Office 365 -kalastelulta?

Jos kalasteluviesti tunnistetaan ajoissa, huijaus jää yritykseksi ja muun muassa arvokkaat käyttäjätunnukset verkkorikolliselta saamatta. Office 365 ja muut Microsoftin palvelut sisältävät monia eri palvelu- ja lisenssiratkaisuja, joiden avulla tietojenkalastelulta voi suojautua. 

Olipa käytössä mikä palvelu tahansa, seuraavat suojaustoimet sopivat jokaiselle organisaatiolle:

  • Ota käyttöön moderni tunnistautuminen ja sen pakotus.
  • Ota käyttöön monivaiheinen tunnistautuminen (MFA).
  • Varmista lokituksen laatu, määrä ja riittävä säilytysaika.

Organisaation koko henkilöstön kannattaa tutustua erityisesti oppaamme lukuhin 3. ja 4., jotka sisältävät keskeisiä suojausohjeita ja neuvoja, mitä tehdä, jos vahinko on jo tapahtunut. Periaatteet, jotka liittyvät muun muassa viranomaisilmoituksiin ja tietojenkalastelusta tiedottamiseen, on jokaisen hyvä sisäistää.

Ennalta suojautuminen paras keino, mutta vahinkoja sattuu kaikille 

Hyökkäysyritykset ovat jatkuvia. Viikottain saamme tietoomme useita uusia Office 365 -tilien tietomurtoja. 

Huijauksen tapahduttua ei kannata hävetä tai painaa päätä pensaaseen, vaan tulla rohkeasti esiin ja perata tapaus kunnolla läpi. Varhaisessa vaiheessa tehdyllä ilmoituksella voidaan suojata muita potentiaalisia uhreja.

Tee ilmoitukset viranomaisille mahdollisimman aikaisessa vaiheessa, vaikka vajavaisin tiedoin. Kun ilmoitat myös Kyberturvallisuuskeskukseen, autat meitä kitkemään verkosta pois kalastelusivustoja ja varoittamaan muita uhreja sekä seuraamaan ilmiön teknistä kehitystä.

Täsmävinkki oppaan käyttöön

Oppaan loppupuolella on taulukko, johon on tiivistetty Office 365 -kalasteluun liittyviä uhkia ja niiden rajoittamiskeinoja. Taulukossa on riveittäin eritelty erilaisia suojaustoimia ylätason uhkien alle. Sarakkeissa esitetään, millä toimilla tai keinoilla kunkin palvelun kautta uhkilta voi suojautua. 

Taulukkoon on otettu yleisesti Suomessa käytössä olevia lisenssitasoja sekä Office 365 -palvelusta että Azure AD -palvelusta. 

Taulukosta voi tarkastaa, millaisia suojauskeinoja jo käytössä olevilla lisensseillä voi toteuttaa ja harkita muutoksia eri käyttäjien lisenssitasoihin tarpeen mukaan. 

Taulukko ei ole kattava matriisi palveluiden koostumuksesta, ja tiettyihin lisenssitasoihin on saatavilla
lisätoimintoja ilman varsinaista lisenssin korotusta seuraavalle tasolle.

Microsoft Office 365 -tietojenkalastelulta ja tietomurroilta suojautuminen

Lue lisää

 

E-Karjalan ICT-Palvelut.net Oy

Janne Kotisalo     050 300 9931
janne.kotisalo(AT)ictpalvelut.net
 
Markku Järvinen  050 305 9931 
markku.jarvinen(AT)ictpalvelut.net
 
 

 Kartta

BQ Aquaris E4.5 Ubuntu Edition kokeilu

Kauan odotettu Ubuntu Phone on viimein kädessäni. Eli heti alkuun jos tarvitsee nopeasti puhelimen, ei tämä ole silloin sinun valinta. ...

Suomenkielinen Windows 10 testissä

Suomenkielielinen Windows 10

Testaan Suomenkielistä Windows 10 kokeiluversiota. ...

.