Προγραμματισμός

Διόρθωση της Black Black της Microsoft: KB 3003743, IE11, EMET 5 και διαδικτυακές εκπομπές ασφαλείας

Με 14 ενημερώσεις ασφαλείας που περιλαμβάνουν επιδιορθώσεις για 33 ξεχωριστά αναγνωρισμένες τρύπες ασφαλείας, 14 νέες ενημερώσεις κώδικα ασφαλείας, δύο αλλαγές στα προγράμματα εγκατάστασης για παλαιότερες ενημερώσεις ασφαλείας και τρεις αλλαγές για παλαιότερες ενημερώσεις ασφαλείας, η Μαύρη Τρίτη του Νοεμβρίου μειώνεται ως μία από τις βαρύτερες ποτέ. Αλλά τα ίδια τα μπαλώματα είναι μόνο μέρος της ιστορίας.

Οι ενημερώσεις του Black Tuesday αυτού του μήνα ξεκίνησαν με ένα περίεργο - αν και ελπιδοφόρο - σημάδι. Η Microsoft τράβηξε εθελοντικά δύο ενημερωτικά δελτία ασφαλείας (με άγνωστο αριθμό σχετικών ενημερώσεων κώδικα) πριν κυκλοφορήσουν. Τόσο το MS14-068 όσο και το MS14-075 παρατίθενται στην επίσημη περίληψη του ενημερωτικού δελτίου ασφαλείας ως "Ημερομηνία κυκλοφορίας που θα καθοριστεί." Δεν έχω ξαναδεί ποτέ αυτόν τον χαρακτηρισμό. Πιθανώς η Microsoft έπιασε σφάλματα στα μπαλώματα και τα τράβηξε την τελευταία στιγμή. Εάν ναι, αυτή είναι μια πολύ θετική εξέλιξη.

Βλέπω σποραδικές αναφορές KB 3003743 - μέρος του MS14-074 - σπάζοντας ταυτόχρονες συνεδρίες RDP. Η αφίσα turducken στα φόρουμ My Digital Life το γράφει:

Οι σημερινές ενημερώσεις περιλαμβάνουν KB3003743 και συνοδεύεται από όρους syaratvv.dll 6.1.7601.18637

Ο Jason Hart έχει επίσης δημοσιεύσει στο Twitter ότι το KB 3003743 σκοτώνει το λογισμικό εικονικοποίησης της NComputing.

Αυτό ακούγεται θυμίζει τα προβλήματα που προκλήθηκαν τον περασμένο μήνα από το KB 2984972, το οποίο επίσης συγκλόνισε τις ταυτόχρονες συνεδρίες RDP σε ορισμένα μηχανήματα. Η εύκολη λύση τον περασμένο μήνα ήταν να απεγκαταστήσετε την ενημέρωση κώδικα και το RDP άρχισε να λειτουργεί ξανά. Η Microsoft έχει μια πολύ πιο περίπλοκη λύση στο άρθρο KB 2984972. Δεν υπάρχει καμία ένδειξη σε αυτό το σημείο εάν η μη αυτόματη λύση λειτουργεί με το KB 3003743. Επίσης, δεν έχω ακούσει εάν επηρεάζονται κάποια πακέτα App-V - ένα άλλο χαρακτηριστικό της κακής ενημέρωσης κώδικα KB 2984872 τον περασμένο μήνα.

Εάν χρησιμοποιείτε IE11 και EMET, είναι σημαντικό να μεταβείτε στην πιο πρόσφατη έκδοση, EMET 5.1, πριν εγκαταστήσετε την ενημερωμένη έκδοση κώδικα MS14-065 / KB 3003057 αυτού του μήνα. Το blog TechNet το θέτει ως εξής:

Εάν χρησιμοποιείτε τον Internet Explorer 11, είτε στα Windows 7 είτε στα Windows 8.1, και έχετε αναπτύξει το EMET 5.0, είναι ιδιαίτερα σημαντικό να εγκαταστήσετε το EMET 5.1 καθώς εντοπίστηκαν προβλήματα συμβατότητας με την ενημέρωση ασφαλείας του Νοεμβρίου του Internet Explorer και τον περιορισμό του EAF +. Ναι, το EMET 5.1 κυκλοφόρησε μόλις τη Δευτέρα.

Υπάρχει κάποια ανησυχία στον τύπο ότι το πρόσφατα διορθωμένο σφάλμα "schannel" μπορεί να είναι τόσο διαπερατό και εκμεταλλεύσιμο όσο η περίφημη τρύπα OpenSSL Heartbleed που ανακαλύφθηκε νωρίτερα αυτό το έτος.

Χωρίς αμφιβολία, θα πρέπει να εγκαταστήσετε το MS14-066 / KB 2992611 σε οποιοδήποτε μηχάνημα Windows που εκτελεί διακομιστή Web, διακομιστή FTP ή διακομιστή email - νωρίτερα και όχι αργότερα. Αλλά πρέπει να αφήσετε τα πάντα και να διορθώσετε τους διακομιστές σας αυτήν τη στιγμή; Οι απόψεις ποικίλλουν.

Το SANS Internet Storm Center, το οποίο συνήθως έχει πολύ προληπτική στάση διόρθωσης, αντισταθμίζει τα στοιχήματά του με αυτό. Το SANS έχει το MS14-066 που αναφέρεται ως "Κρίσιμο" αντί για το πιο τρομερό "Patch Now." Ο Δρ Johannes Ullrich λέει:

Υποθέτω ότι έχετε πιθανώς μια εβδομάδα, ίσως λιγότερο, για να διορθώσετε τα συστήματά σας πριν από την απελευθέρωση ενός exploit. Έχετε ένα καλό απόθεμα των συστημάτων σας; Τότε είστε σε καλή κατάσταση για να κάνετε αυτό το έργο. Για τα υπόλοιπα (συντριπτική πλειοψηφία;): Ενώ κάνετε ενημέρωση κώδικα, βρείτε επίσης αντίμετρα και εναλλακτικές ρυθμίσεις έκτακτης ανάγκης

Ο πιο πιθανός στόχος είναι οι υπηρεσίες SSL που είναι προσβάσιμες από το εξωτερικό: Οι διακομιστές Web και Mail θα βρίσκονται στην κορυφή της λίστας μου. Αλλά δεν είναι κακό να ελέγξετε την αναφορά από την τελευταία εξωτερική σάρωση της υποδομής σας για να δείτε αν έχετε κάτι άλλο. Ίσως είναι καλή ιδέα να επαναλάβετε αυτήν τη σάρωση εάν δεν την έχετε προγραμματίσει τακτικά.

Στη συνέχεια μεταβείτε σε εσωτερικούς διακομιστές. Είναι λίγο πιο δύσκολο να φτάσετε, αλλά θυμηθείτε ότι χρειάζεστε μόνο έναν εσωτερικό μολυσμένο σταθμό εργασίας για να τους εκθέσετε.

Τρίτον: Τα φορητοί φορητοί υπολογιστές και παρόμοια αφήνουν την περίμετρο σας. Θα πρέπει να έχουν ήδη κλειδωθεί και είναι απίθανο να ακούσουν εισερχόμενες συνδέσεις SSL, αλλά δεν μπορούν να βλάψουν τον έλεγχο. Κάποιο περίεργο SSL VPN; Ίσως κάποιο λογισμικό ανταλλαγής άμεσων μηνυμάτων; Μια γρήγορη σάρωση θύρας θα σας πει περισσότερα.

Μια σπάνια αστική μυθολογία σχηματίζεται ήδη γύρω από το schannel. Μπορείτε να διαβάσετε στον τύπο ότι η τρύπα ασφαλείας του schannel υπάρχει εδώ και 19 χρόνια. Δεν είναι αληθές - το σφάλμα schannel αναγνωρίζεται ως CVE-2014-6321 και ανακαλύφθηκε από αγνώστους ερευνητές (πιθανώς εσωτερικοί στη Microsoft). Είναι μια τρύπα στο λογισμικό για συνδέσεις HTTPS.

Η 19χρονη ευπάθεια, η οποία ανακαλύφθηκε από την ερευνητική ομάδα IBM X-Force, είναι το CVE-2014-6332. Είναι μια τρύπα στο COM που μπορεί να αξιοποιηθεί μέσω VBScript. Αυτό είναι το σφάλμα που επιδιορθώθηκε από το MS14-064 / KB 3011443. Όπως μπορώ να πω, οι δύο ευπάθειες ασφαλείας δεν έχουν τίποτα κοινό.

Μην μπερδεύεσαι. Το BBC ανάμιξε τις δύο τρύπες ασφαλείας, και άλλα πρακτορεία ειδήσεων παριστάνουν την έκθεση.

Όσον αφορά την ξαφνική εξαφάνιση της μηνιαίας διαδικτυακής εκπομπής ασφαλείας - δεν έχει υπάρξει επίσημη ανακοίνωση, αλλά ο Dustin Childs, ο οποίος χρησιμοποιούσε τις διαδικτυακές εκπομπές, ανατέθηκε εκ νέου και δεν μπόρεσα να βρω μια διαδικτυακή εκπομπή για τα δελτία ασφαλείας του Νοεμβρίου. Νωρίτερα σήμερα το πρωί, ο Childs έκανε tweet:

14 ενημερωτικά δελτία αντί για 16 - ούτε καν αρίθμησαν. Χωρίς προτεραιότητα ανάπτυξης. Δεν υπάρχει βίντεο επισκόπησης. Χωρίς διαδικτυακή μετάδοση. Υποθέτω ότι τα πράγματα αλλάζουν.

Αυτή είναι μια εκπληκτική εξέλιξη, ειδικά για όποιον πρέπει να κατανοήσει τις δυνατότητες επιδιόρθωσης της Microsoft. Η αποτυχία επαναπροσδιορισμού των δελτίων δεν θα κλονίσει την πίστη κανενός στο πρόγραμμα επιδιόρθωσης της Microsoft - το θεωρώ ευπρόσδεκτη αλλαγή. Ωστόσο, η έλλειψη μηνιαίας λίστας προτεραιότητας ανάπτυξης ενημερωτικών δελτίων ασφαλείας, βίντεο επισκόπησης ή εκπομπής ιστού αφήνει τα περισσότερα πλεονεκτήματα ασφαλείας των Windows. Η Microsoft εκδίδει ένα βίντεο επισκόπησης για τη Μαύρη Τρίτη εδώ και χρόνια και η διαδικτυακή εκπομπή προσφέρει πολλές υποτιμημένες συμβουλές που δεν είναι διαθέσιμες πουθενά αλλού.

Εάν οι διαδικτυακές εκπομπές έχουν τραβηχτεί - δεν υπάρχει επίσημη επιβεβαίωση που μπορώ να δω - οι εταιρικοί πελάτες της Microsoft, ιδίως, έχουν βάσιμους λόγους να παραπονεθούν.