Programování

Mýtné společnosti Microsoft za černé úterý: KB 3003743, IE11, EMET 5 a bezpečnostní webová vysílání

Se 14 aktualizacemi zabezpečení, které zahrnují opravy 33 samostatně identifikovaných bezpečnostních děr, 14 nových nezabezpečených oprav, dvěma změnami instalačních programů pro starší bezpečnostní záplaty a třemi změnami u starších nezabezpečených aktualizací, listopadové Černé úterý klesá jako jedna z nejtěžších vůbec. Samotné opravy jsou však pouze částí příběhu.

Opravy tohoto měsíce v úterý začaly zvláštním - i když nadějným - znamením. Společnost Microsoft před vydáním dobrovolně stáhla dva bulletiny zabezpečení (s neznámým počtem přidružených oprav). MS14-068 i MS14-075 jsou v oficiálním souhrnu Bulletinu zabezpečení uvedeny jako „Datum vydání bude stanoveno.“ Nikdy jsem toto označení neviděl. Microsoft pravděpodobně chytil chyby do oprav a na poslední chvíli je stáhl. Pokud ano, je to velmi pozitivní vývoj.

Vidím sporadické zprávy o KB 3003743 - součást MS14-074 - lámání souběžných relací RDP. Plakát turducken na fórech My Digital Life to připíná:

Dnešní aktualizace zahrnují KB3003743 a spolu s ním i termíny.dll verze 6.1.7601.18637

Jason Hart také tweetoval, že KB 3003743 zabíjí virtualizační software NComputing.

To zní připomínající problémy způsobené minulý měsíc KB 2984972, která také na některých počítačích zahalila souběžné relace RDP. Snadné řešení minulý měsíc bylo odinstalovat opravu a RDP začal znovu fungovat. Microsoft má v článku KB 2984972 mnohem komplexnější řešení. V tuto chvíli nic nenasvědčuje tomu, zda ruční řešení funguje s KB 3003743. Také jsem neslyšel, zda jsou ovlivněny nějaké balíčky App-V - další charakteristika špatné opravy KB 2984872 minulý měsíc.

Pokud používáte IE11 a EMET, je důležité přejít na nejnovější verzi EMET 5.1, než nainstalujete tento měsíc opravu MS14-065 / KB 3003057. Blog TechNet to říká takto:

Pokud používáte Internet Explorer 11, ať už v systému Windows 7 nebo Windows 8.1, a nasadili jste EMET 5.0, je obzvláště důležité nainstalovat EMET 5.1, protože byly objeveny problémy s kompatibilitou s listopadovou aktualizací zabezpečení Internet Exploreru a zmírněním EAF +. Ano, EMET 5.1 byl právě vydán v pondělí.

V tisku se objevují určité obavy, že nově opravená chyba „schannel“ může být stejně všudypřítomná a zneužitelná jako nechvalně známá díra OpenSSL Heartbleed objevená na začátku tohoto roku.

Není pochyb o tom, že byste měli nainstalovat MS14-066 / KB 2992611 na jakýkoli počítač se systémem Windows, na kterém je spuštěn webový server, FTP server nebo e-mailový server - spíše než později. Potřebujete však vše okamžitě zahodit a opravit své servery? Názory se liší.

Centrum SANS Internet Storm, které obvykle zaujímá velmi proaktivní postoj k opravě, zajišťuje své sázky tímto. SANS má MS14-066 uveden jako „Kritický“ namísto mnohem zoufalejšího „Patch Now“. Dr. Johannes Ullrich dále říká:

Můj odhad je, že pravděpodobně máte týden, možná méně, na opravu svých systémů před vydáním exploitu. Máte dobrý soupis svých systémů? Pak jste v dobré kondici, aby to fungovalo. Zbytek (drtivá většina?): Při opravách také zjistěte protiopatření a alternativní nouzové konfigurace.

Nejpravděpodobnějším cílem jsou služby SSL, které jsou přístupné zvenčí: Webové a poštovní servery by byly na mém seznamu. Nemůže však ublížit zkontrolovat zprávu z posledního externího skenování vaší infrastruktury a zjistit, zda máte něco jiného. Pravděpodobně je dobré tento sken opakovat, pokud jste jej nenaplánovali pravidelně.

Dále přejděte na interní servery. Je o něco těžší se k nim dostat, ale pamatujte, že k jejich vystavení potřebujete pouze jednu interně infikovanou pracovní stanici.

Za třetí: Cestovní notebooky apod. Opouštějí váš obvod. Měli by již být uzamčeni a je nepravděpodobné, že budou naslouchat příchozím připojením SSL, ale nemohou ublížit dvojité kontrole. Nějaká lichá SSL VPN? Možná nějaký software pro rychlé zasílání zpráv? Rychlé skenování portů by vám mělo říct víc.

Kolem schannel se již vytváří hromada městské mytologie. V tisku si můžete přečíst, že schannel bezpečnostní díra existuje už 19 let. Není pravda - chyba schannel je identifikována jako CVE-2014-6321 a byla objevena neidentifikovanými vědci (pravděpodobně interní pro Microsoft). Je to díra v softwaru pro připojení HTTPS.

19letou chybou zabezpečení, kterou objevil výzkumný tým IBM X-Force, je CVE-2014-6332. Je to díra v COM, kterou lze využít prostřednictvím VBScript. To je chyba opravená MS14-064 / KB 3011443. Jak nejlépe mohu říci, tyto dvě chyby zabezpečení nemají nic společného.

Nenechte se zmást. BBC zaměnila dvě bezpečnostní díry a zprávu zpracovávají další zpravodajské kanály.

Co se týče náhlého zmizení měsíčního webcastu o zabezpečení - nebylo žádné oficiální oznámení, ale Dustin Childs, který webcasty provozoval, byl znovu přidělen a já jsem nemohl najít webcast pro listopadové bezpečnostní bulletiny. Dříve ráno Childs tweetoval:

14 bulletinů místo 16 - ani se nepřečíslovaly. Žádná priorita nasazení. Žádné přehledové video. Žádné webové vysílání. Myslím, že se věci mění.

To je ohromující vývoj, zejména pro kohokoli, kdo musí rozumět opravitelným sklonům společnosti Microsoft. Pokud přečíslování bulletinů nikoho neotřesí vírou v režim oprav Microsoftu - beru to jako vítanou změnu. Ale nedostatek měsíčního seznamu priorit nasazení bezpečnostního bulletinu, přehledového videa nebo webového vysílání ponechává většinu profesionálů v zabezpečení Windows v klidu. Společnost Microsoft vydává po celé úterý video s přehledem k Černému úterý a webové vysílání nabízí spoustu špinavých rad, které nikde jinde nejsou k dispozici.

Pokud byla webová vysílání stažena - neexistuje žádné oficiální potvrzení, které vidím - zejména firemní zákazníci společnosti Microsoft mají dobrý důvod si stěžovat.