Привет!
Спешите видеть пост нашего эксперта Курта Баумгартнера о последнем «Вторнике патчей»!
Порция патчей за март 2012 устраняет ряд уязвимостей в технологиях Microsoft, включая баг в службе Remote Desktop (pre-authentication ring0 use-after-free RCE), DoS-уязвимость в Microsoft DNS Server и несколько менее критичных локальных уязвимостей EoP.
Давайте для начала я объясню для технически менее подкованных читателей, что такое Remote Desktop pre-auth ring0 use-after-free RCE. Удаленный рабочий стол (Remote Desktop) – это сервис удаленного доступа пользователей к системе, работающей под Windows: открывается окно, в котором виден рабочий стол того компьютера, к которому произведено подключение, как будто вы физически сидите за этим компьютером. Обычно система защиты требует ввода учетных данных. К сожалению, баг таков, что удаленный атакующий, который может по сети подключиться к сервису удаленного рабочего стола, может успешно атаковать систему без ввода учетных данных. ring0 означает, что уязвимый код существует глубоко в системе Windows, на уровне ядра операционной системы. (Для справки, большинство приложений выполняются на уровне ring3, или в так называемом пользовательском режиме). Use-after-free – это тип уязвимости, позволяющий проникновение в систему. Как и было предсказано несколько лет назад, уязвимости такого типа исключительно сложно искоренить, хотя огромное количество уязвимостей типа «переполнение стека» и «переполнение динамически распределяемой области» уже были вычищены за счет автоматической проверки кода и применения лучших практик написания кода. Наконец, “RCE” (удаленное выполнение кода) – это тип эксплойта, возможность которого вызвана наличием уязвимости: атакующий может доставить необходимый ему вредоносный код в систему и украсть данные. Таким образом получаем "pre-auth ring0 use-after-free RCE".
По-видимому, каждый раз, когда малая или среднего размера организация организовывает сеть, сотрудники ожидают, что им будет предоставлена возможность удаленного доступа. В свою очередь, в организациях такой сервис удаленного рабочего стола часто предоставляется через сети общего пользования без использования VPN и без существенных ограничений. Следует придерживаться лучших практик по использованию удаленного рабочего стола, которые включают жесткие требования к аутентификации и распределенный сетевой доступ с разграничением прав.
Некоторые предприятия и другие крупные организации по-прежнему возводят бастионы корпоративной защиты, разрешая при этом использование удаленного рабочего стола. Проблема заключается в том, что ноутбуки и мобильные устройства, поддерживающие протокол, так или иначе будут использоваться для выхода в сеть из кафешек и других мест с публичными WiFi-сетями, где они подвергаются риску вредоносной атаки из-за слабой политики безопасности, выставленной пользователем. Затем зараженное устройство вносится обратно в защищенную корпоративную сеть и изнутри заражает большое количество систем по сети. Для защиты корпоративных сетей, в которых могут быть задержки в установке патчей, Microsoft предоставляет инструмент, который внедряет дополнительную аутентификацию сетевого уровня, защищая от эксплуатирования уязвимостей.
Прошлой осенью мы наблюдали червь Morto, который перебором подбирал пароли к публично доступным сервисам удаленного рабочего стола компаний. Червь распространялся в основном за счет того, что пароли к учетным записям администраторов были исключительно слабыми! После инцидента с данным червем в профессиональном сообществе обратили внимание на слабую защиту сервисов удаленного рабочего стола. Очевидным образом, данную уязвимость нужно патчить немедленно. Тот факт, что это уязвимость типа use-after-free (использование освобожденной памяти) на ring0, может усложнить ситуацию, но специалисты Microsoft присвоили уязвимости уровень опасности 1 – скорее всего, эти характеристики не помешают эксплойту появиться в скором будущем. Так что не откладывайте установку патча к уязвимости CVE-2012-0002.
Напоследок добавим, что DNS серверы Microsoft содержат уязвимости DoS. Учитывая рост активности хактивистов за последний год, предприятиям и провайдерам, работающим с этим ПО, стоит обратить внимание на срочность установки патчей для DNS-серверов. И, на всякий случай, признаками атаки является повышение количества обращений к вашему стандартному протоколу UDP. Будьте внимательны!
Автор: Kaspersky_Lab
