Microsoft рассказала, как не лишиться доступа к серверам под Windows. Видео
27 март 2018 18:40 #67640
от ICT
Поторопитесь с патчем Корпорация Microsoft планирует блокировать попыткиRDP-соединения (протокол удаленного рабочего стола) с серверами под управлениемWindows Server со стороны клиентов, которые не установили патч к недавноисправленной уязвимости. Дело касается уязвимости CVE-2018-0886, исправленной внедавнем обновлении для Windows. Уязвимость в протоколе Credential SecuritySupport Provider (CredSSP — провайдер поддержки безопасности учетных данных)допускала удаленный запуск произвольного кода на уязвимой системе. Ошибка быласвязана с тем, как CredSSP обрабатывал запросы на авторизацию. Иными словами,хакер с помощью атаки «человек посередине» мог направлять серверу произвольныекоманды, выдавая себя за легитимного пользователя или даже администратора. Уязвимость присутствовала в Microsoft Windows Server 2008 SP2 и R2 SP1, Windows 7 SP1, Windows 8.1 иRT 8.1, Windows Server 2012 и R2, Windows 10 Gold, версиях 1511, 1607, 1703, и1709 Windows Server 2016 и в Windows Server версии 1709. Эксплуатация уязвимости
В документации к патчу написано, что мероприятия поисправлению должны включать обновление соответствующих ОС у клиентов и насервере, а также использование прилагающихся настроек групповой политики (GroupPolicy) или аналогов для работы с реестром — для управления настройками наклиентских компьютерах и на сервере. «Мы рекомендуем администраторам установитьпредложенную политику и выставить в ней значения "Принудительное обновлениеклиентов" (Force updated clients) или "Исправлено" (Mitigated)как можно скорее», — отмечают разработчики. Значения Force Updated Clients и Mitigated подразумевают чтослужбы, использующие CredSSP, не будут принимать соединения от клиентов, укоторых не установлены обновления, в то время как клиентские приложения будетневозможно откатывать к ранним, уязвимым версиям. Если администраторы выставят значение «уязвимый» (Vulnerable),то возможность таких соединений сохранится. Именно это значение пока остается"по умолчанию". Политика выставляется по адресу: ComputerConfiguration -> AdministrativeTemplates-> System -> CredentialsDelegation. Реализм и жесткость В документации упоминается также, что в апреле-мае 2018 г. Microsoftсобирается «накатывать» новые обновления, которые будут привлекать повышенноевнимание к неустановленным обновлениям — что на стороне клиента, что на сторонесервера и принудительно переведут политику групп в режим Mitigated. После этоговозможность подключения уязвимых клиентов по RDP к серверу будет заблокированаполностью. «Microsoft дает "реалистичные" два месяца на то,чтобы установить все необходимые обновления, в том числе, к сторонним RDP-клиентам,после этого переходит к "жестким" защитным мерам, — считает Михаил Зайцев, эксперт поинформационной безопасности компании SEC Consult Services. — Подобная жесткостьсебя скорее оправдывает, чем нет; без этого установка обновлений можетзатянуться, а значит, и вероятность успешной эксплуатации повысится. Вопрос в том,сколько кибератак произойдет до того, как все обновления будут выпущены иустановлены». Ссылка на источник
В документации к патчу написано, что мероприятия поисправлению должны включать обновление соответствующих ОС у клиентов и насервере, а также использование прилагающихся настроек групповой политики (GroupPolicy) или аналогов для работы с реестром — для управления настройками наклиентских компьютерах и на сервере. «Мы рекомендуем администраторам установитьпредложенную политику и выставить в ней значения "Принудительное обновлениеклиентов" (Force updated clients) или "Исправлено" (Mitigated)как можно скорее», — отмечают разработчики. Значения Force Updated Clients и Mitigated подразумевают чтослужбы, использующие CredSSP, не будут принимать соединения от клиентов, укоторых не установлены обновления, в то время как клиентские приложения будетневозможно откатывать к ранним, уязвимым версиям. Если администраторы выставят значение «уязвимый» (Vulnerable),то возможность таких соединений сохранится. Именно это значение пока остается"по умолчанию". Политика выставляется по адресу: ComputerConfiguration -> AdministrativeTemplates-> System -> CredentialsDelegation. Реализм и жесткость В документации упоминается также, что в апреле-мае 2018 г. Microsoftсобирается «накатывать» новые обновления, которые будут привлекать повышенноевнимание к неустановленным обновлениям — что на стороне клиента, что на сторонесервера и принудительно переведут политику групп в режим Mitigated. После этоговозможность подключения уязвимых клиентов по RDP к серверу будет заблокированаполностью. «Microsoft дает "реалистичные" два месяца на то,чтобы установить все необходимые обновления, в том числе, к сторонним RDP-клиентам,после этого переходит к "жестким" защитным мерам, — считает Михаил Зайцев, эксперт поинформационной безопасности компании SEC Consult Services. — Подобная жесткостьсебя скорее оправдывает, чем нет; без этого установка обновлений можетзатянуться, а значит, и вероятность успешной эксплуатации повысится. Вопрос в том,сколько кибератак произойдет до того, как все обновления будут выпущены иустановлены». Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.