Такса за черен вторник на Microsoft: KB 3003743, IE11, EMET 5 и уеб предавания за сигурност

С 14 актуализации на защитата, които включват корекции за 33 отделно идентифицирани дупки в сигурността, 14 нови незащитени кръпки, две промени в инсталаторите за по-стари корекции за сигурност и три промени за по-стари актуализации, които не са сигурни, Черният вторник през ноември е един от най-важните досега. Но самите кръпки са само част от историята.

Този месец кръпките за черен вторник започнаха със странен - ​​макар и обнадежден знак. Microsoft доброволно извади два бюлетина по сигурността (с неизвестен брой свързани кръпки), преди да бъдат пуснати. Както MS14-068, така и MS14-075 са посочени в официалното резюме на бюлетина за сигурност като „Дата на издаване, която ще бъде определена“. Никога преди не съм виждал това обозначение. Предполага се, че Microsoft е уловила грешки в лепенките и ги е извадила в последния момент. Ако е така, това е много положително развитие.

Виждам спорадични доклади за KB 3003743 - част от MS14-074 - разбиване на едновременни сесии на RDP. Плакат turducken на форумите My Digital Life го определя:

Днешните актуализации включват KB3003743 и заедно с него идва termsrv.dll версия 6.1.7601.18637

Джейсън Харт също пише в Twitter, че KB 3003743 убива софтуера за виртуализация на NComputing.

Това звучи напомнящо на проблемите, причинени миналия месец от KB 2984972, който също блокира едновременните RDP сесии на някои машини. Лесното решение миналия месец беше да деинсталирате кръпката и RDP отново започна да работи. Microsoft има далеч по-сложно решение в статията KB 2984972. Към този момент няма индикация дали ръчното решение работи с KB 3003743. Също така не съм чувал дали са засегнати някакви пакети App-V - още един отличителен белег на лошия кръп на KB 2984872 миналия месец.

Ако използвате IE11 и EMET, важно е да преминете към най-новата версия, EMET 5.1, преди да инсталирате този месец кръпка MS14-065 / KB 3003057. Блогът TechNet го казва по следния начин:

Ако използвате Internet Explorer 11 на Windows 7 или Windows 8.1 и сте внедрили EMET 5.0, особено важно е да инсталирате EMET 5.1, тъй като са открити проблеми със съвместимостта с актуализацията на защитата на Internet Explorer през ноември и смекчаването на EAF +. Да, EMET 5.1 току-що излезе в понеделник.

В пресата има известна загриженост, че новопоправената грешка в "schannel" може да бъде толкова широко разпространена и използваема, колкото скандалната дупка OpenSSL Heartbleed, открита по-рано тази година.

Без съмнение трябва да инсталирате MS14-066 / KB 2992611 на всяка машина с Windows, която работи с уеб сървър, FTP сървър или сървър за електронна поща - по-скоро, отколкото по-късно. Но трябва ли да изоставите всичко и да закърпите сървърите си този момент? Мненията са различни.

SANS Internet Storm Center, който обикновено заема много активна позиция за закърпване, хеджира залозите си с този. SANS има MS14-066, посочен като „критичен“, вместо по-страшния „Patch Now“. Д-р Йоханес Улрих продължава:

Предполагам, че вероятно имате седмица, а може и по-малко, за да поправите вашите системи, преди да бъде пуснат експлойт. Имате добра инвентаризация на вашите системи? Тогава вие сте в добра форма, за да направите това. За останалото (преобладаващо мнозинство?): Докато правите корекции, също така измислете мерки за противодействие и алтернативни конфигурации за спешни случаи.

Най-вероятната цел са SSL услугите, които са достъпни отвън: уеб и пощенски сървъри ще бъдат в горната част на списъка ми. Но не може да навреди да проверите отчета от последното ви външно сканиране на вашата инфраструктура, за да видите дали имате нещо друго. Вероятно е добра идея да повторите това сканиране, ако не сте го планирали редовно.

След това преминете към вътрешни сървъри. До тях е малко по-трудно да се достигне, но не забравяйте, че ви е необходима само една вътрешна заразена работна станция, за да ги изложите.

Трето: Пътуващите лаптопи и други подобни, които оставят периметъра ви. Те вече трябва да бъдат заключени и е малко вероятно да слушат за входящи SSL връзки, но не могат да навредят при повторна проверка. Някакъв странен SSL VPN? Може би някакъв софтуер за незабавни съобщения? Бързото сканиране на портове трябва да ви каже повече.

Малка част от градската митология вече се формира около schannel. Може да прочетете в пресата, че дупката за сигурност на сканела съществува от 19 години. Не е вярно - грешката в schannel е идентифицирана като CVE-2014-6321 и е открита от неидентифицирани изследователи (вероятно вътрешни за Microsoft). Това е дупка в софтуера за HTTPS връзки.

19-годишната уязвимост, открита от изследователския екип на IBM X-Force, е CVE-2014-6332. Това е дупка в COM, която може да се използва чрез VBScript. Това е грешката, отстранена от MS14-064 / KB 3011443. Както най-добре мога да разбера, двете уязвимости в сигурността нямат нищо общо.

Не се бъркайте. BBC смеси двете дупки в сигурността, а други новинарски агенции папагалират доклада.

Що се отнася до внезапното изчезване на ежемесечното уеб предаване за сигурност - няма официално съобщение, но Дъстин Чайлдс, който преди е изпълнявал уеб предаванията, е преназначен и не успях да намеря уебкаст за бюлетини за сигурност през ноември. По-рано тази сутрин Чайлдс туитва:

14 бюлетина вместо 16 - те дори не преномерираха. Няма приоритет за разполагане. Няма общ видеоклип. Няма уебкаст. Предполагам, че нещата се променят.

Това е зашеметяващо развитие, особено за всеки, който трябва да осмисли склонността на Microsoft за поправяне. Ако не преномерирате бюлетини, това няма да разклати вярата на никого в режима на корекция на Microsoft - аз го приемам като добре дошла промяна. Липсата на месечен списък с приоритети за разгръщане на бюлетин за сигурност, общ видеоклип или уебкаст оставя повечето професионалисти в областта на сигурността на Windows на подем. Microsoft издава обзорно видео за Черния вторник от години и уебкастът предлага много мръсни съвети, които не се предлагат никъде другаде.

Ако уебкастите са изтеглени - няма официално потвърждение, което виждам - ​​по-специално корпоративните клиенти на Microsoft имат основателни причини да се оплакват.