В связи с выявленной компаниями Microsoft и Intel уязвимостью «ZombieLoad» просим вас применить майские обновления безопасности от Microsoft для операционных систем ваших виртуальных машин:
Windows Server и Windows 10:
• http://www.catalog.update.microsoft.com/Search.aspx?q=KB4500109%20
• http://www.catalog.update.microsoft.com/Search.aspx?q=KB4494441
Windows 8.1
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4499151
Windows 7
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4499164
Это важно сделать, т.к. "дыра" может быть актитивирована любым пользователем вашего сервера в результате простого выполнения скрипта в браузере.
Описание последствий уязвимости:
Уязвимость позволяет атакующему получить доступ к памяти и коду программы, которые принадлежат другому приложению. При умелом использовании этой ошибки можно преодолеть барьеры изоляции процессов (их защищенности от вмешательства извне) получать доступ к данным программ и процессов работающих внутри операционных систем , похищать ключи шифрования и прочие конфиденциальные данные прямо в среде исполнения внутри защищенного пространства.
Так же,
Компания Microsoft в своих последних информационных бюллетенях безопасности уведомила об обнаруженной серьезной уязвимости (cve-2019-0708) подключения к удаленным рабочим столам по протоколу RDP.
Эта уязвимость присутствует в старых операционных системах Windows XP, Windows 7, и в серверных операционных системах: Windows server 2008, Windows server 2003.
Риски:
Уязвимость потенциально дает возможность получить доступ к управлению компьютерами, серверами и выполнить на атакуемом компьютере любой код (программу). Логин, пароль не нужны для проникновения через уязвимость.
Зараженные компьютеры могут продолжить распространение вредоносных программ на соседние компьютеры сети.
Последствия:
Шифрование данных, копирование и кража конфиденциальных данных, несанкционированное использование ресурсов вашего компьютера третьими лицами. Для бизнеса это может привести к потерям данных, ответственности перед клиентами и партнерами, простоям и другим негативным результатам.
Основные каналы и причины проникновения в компьютер
• Существует угроза при подключении к серверам через RDP-протокол, опубликованный в интернете напрямую, с минимальными настройками безопасности.
• При невозможности подключиться со старых компьютеров к серверам по RDP может быть отключена проверка защиты на уровне сети без применения всех обновлений и установки последней версии клиента RDP на компьютеры с устаревшей ОС.
По словам Microsoft - для использования уязвимости достаточно иметь сетевой доступ к компьютеру с уязвимой версией операционной системы
Предлагаемые рекомендации по защите:
• Закрыть прямой доступ к серверам по RDP, т.е. запретить публикацию терминальных служб напрямую в интернет.
• Использовать для подключения офисов, мобильных сотрудников, удаленщиков, шифрованные каналы (VPN).
• Незамедлительно установить следующие обновления
Для Windows 7 и серверов Windows 2008: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
Для Windows XP и серверов Windows 2003: https://support.microsoft.com/ru-ru/help/4500705/customer-guidance-for-cve-2019-0708
которые существенно снижают риски использования обнаруженной уязвимости
• Рассмотреть возможность перевода серверной части, а в последствии и периферийных компьютеров на более современные версии OS от Microsoft.
Возможные дополнительные компенсирующие меры:
• Включение проверки подлинности на уровне сети (NLA).
• Проверка наличия резервного копирования и актуальности резервных копий.
