Top.Mail.Ru
Видеонаблюдение
СКУД
СКС
Телефония
IT Аутсорсинг 
АТТ
Среда, 15 июля 2020 11:04

17 лет "под угрозой" взлома

В ОС Windows Server с самого момента ее появления в 2003 г. содержалась опасная уязвимость, дававшая хакерам полный контроль над сервером под ее управлением. Ее выявили лишь в мае 2020 г., а Microsoft выпустила патч для ее устранения еще через два месяца, в июле 2020 г. Воспользоваться ею сможет даже начинающий хакер – она предельно проста в эксплуатации, что делает ее очень опасной.

Почти совершеннолетняя уязвимость

Серверные операционные системы Windows Server корпорации Microsoft в течение 17 лет содержали очень опасную уязвимость SigRed. Известно о ней стало лишь в мае 2020 г., а патч, устраняющий ее, Microsoft выпустила спустя еще два месяца.

SigRed обнаружили специалисты ИБ-компании Check Point. По их словам, брешь была частью всех версий ОС Windows Server, разработанных Microsoft с 2003 по 2019 гг. включительно.

SigRed может использоваться с целью проведения удаленных атак, притом даже автоматизированных, и не требует предварительной аутентификации в системе. Уязвимости был присвоен идентификатор CVE-2020-1350, и она получила максимальные 10 баллов по шкале оценки CVSSv3. Это означает, что для ее эксплуатации злоумышленнику не нужно обладать углубленными техническими знаниями – она очень проста в использовании.

Как работает SigRed

По данным экспертов Check Point, эксплуатация SigRed осуществляется хакером путем вредоносных DNS-запросов к DNS-серверам Windows. Это дает ему возможность запуска запускать любой нужный ему код и полностью перехватить контроль над этими серверами.

В частности, киберпреступник сможет управлять сетевым трафиком, получит доступ к персональным данным пользователей (при их наличии на сервере), а даже будет иметь возможность контролировать электронную почту людей, подключенных к скомпрометированному серверу.

Работа уязвимости основана на общем принципе анализа DNS-сервером Windows всех входящих и обработки переадресованных DNS-запросов. К примеру, отправка запроса длиной свыше 64 КБ может привести к контролируемому переполнению буфера, что и даст хакеру выполнить на сервере нужный ему код.

Специалист Check Point Саги Тцадик (Sagi Tzadik) назвал SigRed черверобразной уязвимостью. Он сообщил, что ее использование на одном сервере может запустить своего рода цепную реакцию, что приведет к распространению атаки от одной скомпрометированной машины к другой без дополнительных действий со стороны хакера.

Как защититься от атаки

На момент публикации материала существовало два действенных способа снижения до нуля вероятности стать жертвой хакера, воспользовавшегося именно уязвимостью CVE-2020-1350. Первый и самый очевидный – это установка патча, закрывающего ее.

Пакет обновлений KB4569509 в настоящее время доступен для скачивания и установки. Он подходит для интеграции в состав всех версий Windows Server, начиная с 2008 Service Pack 1. Устанавливать патч необходимо на сервер, использующийся в качестве DNS-сервиса.

Второй способ, рекомендованный Check Point, пригодится в качестве экстренной меры, если требуется защитить сервер, но установка патча по тем или иным причинам не представляется возможной. Для этого нужно уменьшить максимальную длину DNS сообщений, что исключить переполнение буфера путем выполнения двух команд (без кавычек):

  1. «reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters” /v “TcpReceivePacketSize” /t REG_DWORD /d 0xFF00 /f»
  2. net stop DNS && net start DNS.

Добавим, что на момент публикации материала не было зафиксировано ни одного случая взлома Windows-серверов путем эксплуатации SigRed. Однако Microsoft обратилась к Check Point с просьбой о временном удалении из их отчета технической информации об этой бреши, чтобы дополнительно снизить вероятность ее использования, пока большинство копий Windows Server не будут пропатчены.

Другие многолетние уязвимости

В ОС семейства Windows могут существовать и другие уязвимости, которые Microsoft по тем или иным причинам не устраняет годами. К примеру, в январе 2020 г. CNews писал об обнаружении опасной «дыры», затронувшей все без исключения версии Windows. выпущенные за последние 24 года. Впервые она появилась еще в Windows NT 4.0, увидевшей свет в 1996 г.

Уязвимость касается динамической библиотеки crypt32.dll, ответственной за сертификаты и функции обмена зашифрованными сообщениями в CryptoAPI. Microsoft CryptoAPI позволяет разработчикам защищать ПО для Windows с использованием криптографических алгоритмов, а также включает в себя функции шифрования и расшифровки данных с помощью цифровых сертификатов. Критическая уязвимость в этом компоненте Windows может представлять угрозу безопасности для целого ряда важных функций Windows, включая функции аутентификации на персональных компьютерах и серверах под управлением Windows, защиты данных, обрабатываемых браузерами Internet Explorer/Edge, а также некоторыми сторонними приложениями и инструментами.

Не меньшую озабоченность вызывает и то, что уязвимость в библиотеке может использоваться для подмены цифровой подписи, привязанной к конкретному ПО. Этим может воспользоваться злоумышленник, выдав вредоносное ПО за легитимное, выпущенное и подписанное добросовестным разработчиком.

Подобные просчеты разработчиков встречаются не только в Windows. Так, в 2014 г. В Linux и Unix была найдена масштабная многолетняя брешь, относящаяся к командной оболочке Bash. В ней есть переменные окружения, которые можно задавать согласно специальному синтаксису при вызове оболочки. Оболочка запускается и задает значения переменных, прописанные в синтаксисе. Уязвимость заключалась в том, что непосредственно в самом задаваемом значении переменной можно было дописать произвольные команды, которые оболочка также выполнила бы. В случае если Bash была назначена системной оболочкой по умолчанию, она могла быть использована злоумышленниками для проведения сетевых атак на серверы с применением веб-запросов.

Многолетние уязвимости есть и в составе популярных программ. В начале 2019 г. компания Check Point обнаружила серьезную брешь в популярном архиваторе WinRAR, созданном в 1995 г. российским программистом из Челябинска Евгением Рошалом. Багу на тот момент было не менее 14 лет – он появился в программе не позднее 2005 г.

Уязвимость содержалась в библиотеке unacev2.dll, использовавшейся для синтаксического анализа давно устаревшего и редко используемого формата архивов ACE – этот формат был разработан еще в 1990 г. На практике злоумышленник мог подсунуть жертве вредоносный архив ACE, замаскированный под файл RAR. При открытии этого файла WinRAR уязвимость, известная как выход за пределы назначенного каталога, позволяла злоумышленнику разархивировать содержащиеся внутри файлы в произвольный каталог Windows – по выбору злоумышленника.

Исправить эту библиотеку не представлялось возможным, поэтому формат ACE в WinRAR больше не поддерживается.

Министерство торговли США ввело новые ограничения на экспорт американских товаров в Россию и ряд других стран. Теперь для отправки в Россию компьютеров, телекоммуникационное оборудование, полупроводников и целого ряда других товаров для гражданского использования потребуется лицензия, которую Минторг может еще и не дать, а экспорт товаров для потребителей из оборонного сектора, включая ОС Windows и смартфоны Apple iPhone и вовсе стал практически невозможен.

Ограничения для военных

Власти США ужесточили экспортные правила в отношении России и ряда других стран. Новые ограничения не позволят российским военным пользоваться рядом американских ИТ-разработок, как программных, так и аппаратных.

Изменения связаны с вступившим в силу новым правилом Бюро промышленности и безопасности (Bureau of Industry and Security, BIS), входящего в состав Министерства торговли США. Оно расширяет определение «военного использования» американской продукции. Итогом этого станет сокращение возможностей для российского оборонного сектора в плане закупок ПО, технологий и других товаров, разработанных в США.

Новые правила накладывают ограничение, в том числе, и на закупку смартфонов Apple iPhone, а также на использование ОС Microsoft Windows, вне зависимости от их версий и поколений. Такое мнение, пишет РБК, высказала международная юридическая фирма Pillsbury Winthrop Shaw Pittman. Ее специалисты полагают, новые правила сделают практически невозможным закупку этих товаров для военных пользователей.

Изменения, внедренные BIS, распространяются не только на непосредственно вооруженные силы. Без iPhone и Windows останутся также различные разведслужбы, национальная гвардия, полиция и любая другая организация (и даже частное лицо), так или иначе способная использовать продукцию в «военных» целях.

Данные ограничения распространяются не только на Россию – санкции затронули также Венесуэлу и Китай. С последним США на протяжении нескольких лет ведут торговую войну.

Перечень устройств, которые по новым правилам BIS нельзя поставлять российским военным, входят, помимо iPhone и Windows, различные лазеры и сенсоры, генераторы для атомных электростанций, двигательные установки, а также целый спектр оборудования для морских судов и т. д.

Гражданские тоже не остались без внимания

Бюро промышленности и безопасности американского Министерства торговли ввело, в общей сложности, два новых правила экспорта, и если первое затрагивает военных КНР, России и Венесуэлы, то второе имеет отношение к товарам для гражданского потребления. Список стран, попавших под эти санкции, значительно шире: Россия, Венесуэла, Китай, Азербайджан, Армения, Белоруссия, Ирак, Казахстан и Украина.

«Гражданское» правило BIS лишит американских экспортеров возможности поставлять в Россию и другие перечисленные страны целый спектр товаров без лицензии. Раньше она не требовалась, если эта продукция предназначалась исключительно гражданского использования гражданскими потребителями.

Список товаров, на которые распространялись послабления, включал полупроводниковую продукцию, компьютеры, радиолокационные системы, подшипники, телекоммуникационное оборудование, а также устройства для сборки самолетных двигателей и т. д.

Новое правило американского Минторга предписывает обязательное получение лицензии на экспорт в Россию, КНР и другие страны перечисленных товаров. Это может сказаться на сроках поставок, поскольку такого рода бюрократия требует определенного времени, к тому же Минторг США может и вовсе по тем или иным причинам отказать экспортеру в предоставлении такой лицензии.

В чем провинились гражданские потребители

Представители BIS не уточнили, почему российским военным больше нельзя закупать iPhone, но раскрыли причину, по которой были введены ограничения для гражданского населения. По оценке Бюро, Россия, Китай и другие попавшие под новые санкции страны нередко используют стратегию интеграции гражданских и военных отраслей. Подобное мешает американским экспортерам определять, кому он поставляет ту или иную продукцию – военным или гражданским, и, как следствие, товары, отправляемые гражданской стороне, могут оказаться в военном секторе.

Санкции против госкомпаний и российской ИТ-сферы

Новые ограничения пополнили длинный список американских санкций против России. Так, в конце августа 2018 г. Госдепартамент США ввел запрет на поставки российским госпредприятиям товары, имеющие в американской торговой номенклатуре пометку «национальная безопасность».

Запрет коснулся широкого спектра техники и ПО, но при этом не распространился на гражданский сектор. Госпредприятия лишились возможности получать специализированные электронные компоненты, подводные аппараты, калибровочное оборудование, системы информационной безопасности и др.

Против российских ИТ-компаний США регулярно вводят санкции на протяжении нескольких лет. К примеру, в 2012 г. BIS ввело ограничения отношении 199 российских физических и юридических лиц и 46 их зарубежных партнеров, занимающихся продажей электронных компонентов.

В сентябре 2016 г. Власти США ввели санкции в отношении российских производителей электроники. В их число попал ряд зеленоградских микроэлектронных предприятий. Это «Микрон», который через холдинг РТИ принадлежит АФК «Система», и предприятия группы «Ангстрем»: ОАО «Ангстрем», «Ангстрем-Т» и «Ангстрем-М» (основным акционером этих предприятий является бывший министр связи Леонид Рейман).

Кроме того в списке оказались томский производитель телекоммуникационного и СВЧ-оборудования «Микран», московский производитель электронной радиокомпонентной базы «Внешнеэкономическое объединение Радиоэкспорт», (входит в госкорпорацию «Ростех»), производитель бортовых комплексов летательных аппаратов Пермская научно-производственная приборостроительная корпорация (ПНППК).

Помимо них, в списке фигурируют ранее не известные фирмы: петербургская НПО «Гранат», Giovan и Technopole. Две последние из них зарегистрированы как в Гонконге, так и в Индии.

Все имущество предприятий на территории США, попавших в санкционный список, подлежало замораживанию. Поставки технологий для данных компаний были ограничены: потребовалось получение лицензий от BIS, причем в отношении заявителей стала действовать «презумпция отказа». Исключения, которые позволили бы поставлять технологии без лицензий, в отношении этих предприятий были отменены.

 

Четверг, 14 мая 2020 16:11

Окончание эпохи 32-битной Windows

Пользователям 32-битных сборок Windows 10 бояться не стоит — нововведение коснется лишь новых компьютеров

Начиная с обновления Windows 10 2004, минимальные требования системы возрастут. В частности, Microsoft запретит производителям устанавливать 32-битную версию Windows 10 на новые устройства, — об этом говорится в обнародованных документах компании.

Тем не менее, для тех, кто уже пользуется 32-битной Windows 10, ничего не изменится — их компьютеры продолжат получать патчи безопасности. Более того, в продаже останутся и дистрибутивы Windows 10 32 Bit, систему можно будет скачать и установить. Таким образом Microsoft заставит производителей выпускать устройства только с 64-битной Windows. Впрочем, согласно данным Steam, людей с 32-битной Windows 10 немного: лишь около 0,2%, в то время как 64-битная Windows 10 стоит у 86% всех пользователей системы.

По слухам Windows 10 2004 выйдет уже 28 мая.

Опубликовано в Программное обеспечение

Пользователи Windows 10 рассказали о выходе очередного проблемного обновления. В некоторых случаях системный апдейт приводил к фатальным ошибкам, например, «синему экрану смерти», сообщает Windows Latest.

Опубликовано в Программное обеспечение

Обнаруженный баг злоумышленники используют для добычи криптовалюты Monero.

В рамках октябрьского «вторника исправлений» Microsoft исправила 59 уязвимостей разной степени опасности.

Опубликовано в Программное обеспечение

Как сообщают сетевые источники, тысячи компьютеров работающих под управлением Windows оказались заражены новым видом вредоносного ПО. 

Опубликовано в Программное обеспечение
Воскресенье, 15 сентября 2019 06:31

Huawei переводит свои ноутбуки с Windows на Linux

Вместо Windows, на ноутбуках Huawei будет установлен Deepin Linux

Опубликовано в Программное обеспечение

Эксплуатация уязвимости позволяет запускать вредоносный код на зараженных системах с правами администратора.

Опубликовано в Программное обеспечение

Некоторые пользователи Windows 10 неожиданно столкнулись с невозможностью восстановления поврежденных файлов с помощью sfc /scannow. Вероятная причина проблемы – новая версия Windows Defender.

Опубликовано в Программное обеспечение
Страница 1 из 2

© 2007-2020 ООО "Центр Информационных Технологий"

Яндекс.Метрика