Компания Microsoft уведомила об обнаруженных уязвимостях

23 мая 2019
1218 просмотров
время чтения ~ мин

В связи с выявленной компаниями Microsoft и Intel уязвимостью «ZombieLoad» просим вас применить майские обновления безопасности от Microsoft для операционных систем ваших виртуальных машин:

Windows Server и Windows 10:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4500109%20
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4494441

Windows 8.1 

 http://www.catalog.update.microsoft.com/Search.aspx?q=KB4499151

Windows 7
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4499164

Это важно сделать, т.к. "дыра" может быть актитивирована любым пользователем вашего сервера в результате простого выполнения скрипта в браузере. 

Описание последствий уязвимости:
Уязвимость позволяет атакующему получить доступ к памяти и коду программы, которые принадлежат другому приложению. При умелом использовании этой ошибки можно преодолеть барьеры изоляции процессов (их защищенности от вмешательства извне) получать доступ к данным программ и процессов работающих внутри операционных систем , похищать ключи шифрования и прочие конфиденциальные данные прямо в среде исполнения внутри защищенного пространства.

Так же, 

Компания Microsoft в своих последних информационных бюллетенях безопасности уведомила об обнаруженной серьезной уязвимости (cve-2019-0708) подключения к удаленным рабочим столам по протоколу RDP. 

Эта уязвимость присутствует в старых операционных системах Windows XP, Windows 7, и в серверных операционных системах: Windows server 2008, Windows server 2003.
Риски:
Уязвимость потенциально дает возможность получить доступ к управлению компьютерами, серверами и выполнить на атакуемом компьютере любой код (программу). Логин, пароль не нужны для проникновения через уязвимость.
Зараженные компьютеры могут продолжить распространение вредоносных программ на соседние компьютеры сети.
Последствия:
Шифрование данных, копирование и кража конфиденциальных данных, несанкционированное использование ресурсов вашего компьютера третьими лицами. Для бизнеса это может привести к потерям данных, ответственности перед клиентами и партнерами, простоям и другим негативным результатам. 

Основные каналы и причины проникновения в компьютер
• Существует угроза при подключении к серверам через RDP-протокол, опубликованный в интернете напрямую, с минимальными настройками безопасности. 

• При невозможности подключиться со старых компьютеров к серверам по RDP может быть отключена проверка защиты на уровне сети без применения всех обновлений и установки последней версии клиента RDP на компьютеры с устаревшей ОС.
По словам Microsoft - для использования уязвимости достаточно иметь сетевой доступ к компьютеру с уязвимой версией операционной системы 

Предлагаемые рекомендации по защите:
• Закрыть прямой доступ к серверам по RDP, т.е. запретить публикацию терминальных служб напрямую в интернет.
• Использовать для подключения офисов, мобильных сотрудников, удаленщиков, шифрованные каналы (VPN).
• Незамедлительно установить следующие обновления 

Для Windows 7 и серверов Windows 2008: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
Для Windows XP и серверов Windows 2003: https://support.microsoft.com/ru-ru/help/4500705/customer-guidance-for-cve-2019-0708
которые существенно снижают риски использования обнаруженной уязвимости 

• Рассмотреть возможность перевода серверной части, а в последствии и периферийных компьютеров на более современные версии OS от Microsoft. 

Возможные дополнительные компенсирующие меры:
• Включение проверки подлинности на уровне сети (NLA). 

• Проверка наличия резервного копирования и актуальности резервных копий.