Windows-tietokoneissa ilmeisesti vakava tietoturvaongelma

Tapauksen taustalla on nettitietojen mukaan siis ilmeisesti taho, joka oli katkeroitunut kun ei ollut saanut Microsoftilta palkkioita löytämistään tietoturva-aukoista. Ilmeisesti siitä kostona kyseinen katkeroitunut henkilö tai henkilöt julkaisivat tarkoituksellisesti uudet tietoturva-aukot nettirikollisten hyödynnettäväksi välittömästi viime tiistain (kuukauden 2. tiistai ns. patch tuesday) jälkeen, ja ilmeisesti julkaisee uusia heti jos aiempiin haavoittuvuuksiin tehdään hätäpaikkauksia normaalien kuukausittaisten päivitysten välissä. 

Sionä hieman taustatietoa:

Vaihtakaa linuxiin niin ei ongelmaa enää tuon lahoavan ikkunan kanssa.

Vierailija kirjoitti:

Vaihtakaa linuxiin niin ei ongelmaa enää tuon lahoavan ikkunan kanssa.

Linuxissa on omat aukkonsa. Kaikissa järjestelmissä on 

Hupaisaa että Kyberturvallisuuskeskuksen Ajankohtaista-sivuilta ei ainakaan ihan  helpolla löydy mitään tietoa Redsunista eikä Undefendistä. Ilmeisesti ovat siellä yhtä unessa kuin Suomen puolustusvoimien droonipuolustuskin on ollut. Eli vasta sitten aletaan reagoida kun kakka on jo pöksyssä. 

RedSun vaatii että ajat sen lokaalisti ensin normikäyttäjänä.

Onko teillä useinkin tapana suorittaa netistä ongittuja kakkaohjelmia koneellanne?

Tietoturvaongelman nimi on windows.

Onneksi käytän edelleen windows 7 enkä näitä uusia surkeita 10 tai 11.

Windows on tietoturvaongelma. Kaikkihan tuon tietää.

BlueHammer taitaa olla ainoa noista Defenderiin liittyvistä aukoista joilla on CVE-numero (CVE-2026-33825) ja siihen tulikin jo Microsoftilta paikkaus.

RedSun ja UnDefend ovat ilmeisesti edelleen täysin levällään, lisää voi tulla, jos, kuten kuulemma epäillään, Defenderin koko struktuuri ehkä paljastuu kunnon reikäjuustoksi.

Vierailija kirjoitti:

Vierailija kirjoitti:

Vaihtakaa linuxiin niin ei ongelmaa enää tuon lahoavan ikkunan kanssa.

Linuxissa on omat aukkonsa. Kaikissa järjestelmissä on 

Ero on siinä että linuxissa selvät aukot paikataan todella nopeasti. Mikrosoftin strategia on korjata hitaasti ettei mee rahaa turhaan pätsäilyyn. 

Vierailija kirjoitti:

RedSun vaatii että ajat sen lokaalisti ensin normikäyttäjänä.

Onko teillä useinkin tapana suorittaa netistä ongittuja kakkaohjelmia koneellanne?

Tai toinen vaihtoehto, koneellesi pääsee joku käyttäjä kirjautumaan normaaleilla user-tason oikeuksilla. Tuon jälkeen sen voi suorittaa koodia koneellasi admin-tason oikeuksilla. Aika harvaa siis koskee tuo ongelma.

Windowsissa on ollut paljon ongelmia viimeisten kuukausien aikana. Tuntuu siltä että winkkari on melkoinen korttitalo joka ei ole kenenkään hallinnassa. 

Vuosien varrella on kehitelty kaikenlaista mukatietorurvaa, kuten EMET, Defender ja SAC. Ja kuitenkin joku animehahmoista diggaileva katkeroitunut hakkeri pystyy viemään mikkisoftaa kuin litran mittaa. Ainakin hetken aikaa, kunnes ehkä FBI ja CIA hakee veijarin kellariin kuulusteltavaksi, mikäli tekijä ei ole turvassa Venäjällä tai Pohjois-Koreassa tms. paikassa. 

Oon vaihtamassa konetta. Onko mäkki sitten turvallisempi? Jos joku osaa asiallisesti perustella että onko vai ei. 

Vierailija kirjoitti:

RedSun vaatii että ajat sen lokaalisti ensin normikäyttäjänä.

Onko teillä useinkin tapana suorittaa netistä ongittuja kakkaohjelmia koneellanne?

Sovelluksiahan saa nykyään saastutettua monella tavalla, ja niin että saastutettu versio on ollut jaossa ihan luotettavana pidetyissä paikoissa kuten jopa ihan virallisissa sovelluskaupoissa. 

Sillä onko haittaohjelma user vai admin "tasolla" ei ole käytännössä merkitystä kotikäytössä. Yrityksissä tuo on vähän eri asia, sillä kansioita, dokumentteja ja verkkolevyjä on suojattu. Mutta mikäli mitään erillisiä group policy -asetuksia ei olla määritelty, user-tasolla kaikki data voidaan edelleen urkkia, varastaa tai jopa poistaa.

User Account Control suojaa ensisijaisesti siis yrityksiä.

Kernel-tasolla oleva haittaohjelma voi olla hankalampaa poistaa, mutta lähtökohtaisesti jos Windowsiin tulee haittaohjelma ylipäätään, se on game over ja koko levy pitäisi tyhjentää ja asentaa järjestelmä alusta. Koska et koskaan voi olla varma tartunnan jälkeen, että systeemi on enää entisensä.

Vierailija kirjoitti:

RedSun vaatii että ajat sen lokaalisti ensin normikäyttäjänä.

Onko teillä useinkin tapana suorittaa netistä ongittuja kakkaohjelmia koneellanne?

Näissä Defenderiin liittyvissä haavoittuvuuksissa ongelma kuitenkin taitaa olla juuri se, että hyökkääjä saa ensin jalkansa vähän oven väliin, mutta vasta juuri Defenderin heikkouksien avulla saa kunnolla kräkättyä koko systeemin haltuunsa, koska Defender nimenomaan on tehty ohjelmistokomponentiksi joka voi operoida laajoilla oikeuksilla pystyäkseen etsimään, löytämään ja poistamaan haittaohjelmia. Ts. ei ole näköjään kunnolla otettu huomioon sitä absurdia tilannetta, että Defender ei toimikaan työkaluna tietomurtoa tai hyökkäystä vastaan vaan se toimii sen tietomurron tekijän mitä parhaimpana ja suorituskykyisempänä työkaluna. 

Vierailija kirjoitti:

Sillä onko haittaohjelma user vai admin "tasolla" ei ole käytännössä merkitystä kotikäytössä. Yrityksissä tuo on vähän eri asia, sillä kansioita, dokumentteja ja verkkolevyjä on suojattu. Mutta mikäli mitään erillisiä group policy -asetuksia ei olla määritelty, user-tasolla kaikki data voidaan edelleen urkkia, varastaa tai jopa poistaa.

 

User Account Control suojaa ensisijaisesti siis yrityksiä.

 

Kernel-tasolla oleva haittaohjelma voi olla hankalampaa poistaa, mutta lähtökohtaisesti jos Windowsiin tulee haittaohjelma ylipäätään, se on game over ja koko levy pitäisi tyhjentää ja asentaa järjestelmä alusta. Koska et koskaan voi olla varma tartunnan jälkeen, että systeemi on enää entisensä.

No ovatko ne sfc, DISM tai winkkarin "korjausasennus" omia tietoja ja asetuksia menettämättä sitten ihan hyödyttömiä konsteja?

Vierailija kirjoitti:

Vierailija kirjoitti:

Sillä onko haittaohjelma user vai admin "tasolla" ei ole käytännössä merkitystä kotikäytössä. Yrityksissä tuo on vähän eri asia, sillä kansioita, dokumentteja ja verkkolevyjä on suojattu. Mutta mikäli mitään erillisiä group policy -asetuksia ei olla määritelty, user-tasolla kaikki data voidaan edelleen urkkia, varastaa tai jopa poistaa.

 

User Account Control suojaa ensisijaisesti siis yrityksiä.

 

Kernel-tasolla oleva haittaohjelma voi olla hankalampaa poistaa, mutta lähtökohtaisesti jos Windowsiin tulee haittaohjelma ylipäätään, se on game over ja koko levy pitäisi tyhjentää ja asentaa järjestelmä alusta. Koska et koskaan voi olla varma tartunnan jälkeen, että systeemi on enää entisensä.

No ovatko ne sfc, DISM tai winkkarin "korjausasennus" omia tietoja ja asetuksia menettämättä sitten ihan hyödyttömiä konsteja?

Periaatteessa ovat. SFC ja DISM korjaavat korruptoituneita järjestelmätiedostoja, mutta eivät poista haittaohjelmia itsessään. Jos järjestelmässä on haittaohjelma, joka korruptoi järjestelmää, SFC ja DISM voivat kyllä korjata vauriot, mutta heti seuraavassa boottauksessa haittaohjelma voi uudestaan tehdä samat vahingot, jos on vielä läsnä.

Tiedot saa kyllä talteen, vaikka koko levyn tyhjentäisi. Kopioi C:/Users/kayttajanimi ulkoiselle levylle kokonaisuudessaan, niin on tallessa kaikki käyttäjädata. Mutta tämä tosiaan edellyttää toista levyä - mieluiten ulkoista, joka on tyhjennyksen ja asennuksen aikaan irti koneesta.

Nettitietojen mukaan haavoittuvuuksia (ml. BlueHammer ennenkuin käyttäjät asentavat sen aukon korjaavan jo julkaistun  suojauspäivityksen) hyödynnetään "in the wild".  Missään ei kuitenkaan oikein tunnu olevan tarjolla luotettavaa tietoa siitä, että millä tavoin noiden aukkojen hyödyntäminen oikein tapahtuu, kuinka laaja ongelma on, ja kohdistuuko toiminta pääosin yrityksiin vai yksityisiin henkilöihin. 

Microsofthan tietenkään ymmärrettävistä syistä ei erityisesti halua tuoda ja pitää asiaa otsikoissa ja siis mainostaa Defenderinsä tällä hetkellä olevan väitetysti valjastettu kyberrikollisten oivaksi työkaluksi.