Kritické zranitelnosti Microsoftu

14. ledna 2020 | Blog, Lepkavý

14. ledna 2020: Společnost Microsoft dnes vydala své měsíční záplaty a mezi nimi tři kritické problémy se závažností 1, které vyžadují vaši okamžitou pozornost. Firmy by měly aktivovat proces správy výstrah před zranitelnostmi (Vulnerability Alert Management Process), aby tyto výstrahy vyhodnotily, a okamžitě naplánovat co nejdříve aktualizaci. Považujte prosím toto speciální blogové upozornění od CyberHootu za velmi neobvyklou okolnost a co nejdříve podnikněte příslušné kroky. Abychom to uvedli do perspektivy – VŠECHNY mé zdroje v oblasti kybernetické bezpečnosti naznačují totéž. Vládní subjekty dohlížející na kybernetickou bezpečnost, jako je CISA, vydaly teprve druhé… Směrnice pro nouzové situace kvůli těmto zranitelnostem. To je vážné.

Dotčené systémy:

Zranitelnost proti falešnému přístupu k kryptoapi – CVE-2020-0601: Tato zranitelnost se týká všech počítačů s 32bitovými nebo 64bitovými operačními systémy Windows 10, včetně Windows Server verzí 2016 a 2019.

Zranitelnosti brány Windows RD a klienta vzdálené plochy systému Windows – CVE-2020-0609, CVE-2020-0610 a CVE-2020-0611: Tyto zranitelnosti postihují systém Windows Server 2012 a novější. Chyba CVE-2020-0611 navíc postihuje systém Windows 7 a novější.

Dopad zranitelnosti:

Tato část doporučení popisuje potenciální dopad zneužití těchto zranitelností.

Zranitelnost proti falešnému přístupu k kryptoapi – CVE-2020-0601:

Tato zranitelnost umožňuje nežádoucímu nebo škodlivému softwaru maskovat se jako legitimní software autenticky podepsaný důvěryhodnou organizací. To by mohlo uživatele oklamat a přimět k instalaci škodlivého softwaru, který se jeví jako legitimní. Mohlo by to také zabránit ochrannému softwaru, jako je antivir, v detekci takových instalací jako škodlivých. Prohlížeče, které se spoléhají na Windows CryptoAPI, by navíc útoky neviděly, což by útočníkovi umožnilo dešifrovat, upravovat nebo vkládat data do uživatelských připojení bez detekce.

Zranitelnosti brány Windows RD a klienta vzdálené plochy systému Windows – CVE-2020-0609, CVE-2020-0610 a CVE-2020-0611:

Tyto zranitelnosti umožňují vzdálené spuštění kódu, kdy libovolný kód může být volně spuštěn jak na RD Web Gateway, tak na jakémkoli klientovi připojujícím se ke škodlivé bráně. Zranitelnosti serveru nevyžadují ověřování [což je opravdu špatné] nebo interakce s uživatelem a lze ji zneužít speciálně vytvořeným požadavkem. Zranitelnost klienta lze zneužít přesvědčením uživatele k připojení ke škodlivému serveru. V kombinaci může být jakákoli webová brána RD převzata a stává se škodlivým serverem, který poté převezme kontrolu nad všemi připojujícími se klientskými počítači. [Řekl jsem snad, že je to fakt špatné?]

Jsou nějaké dobré zprávy?

Vlastně ano. [uf!Tyto zranitelnosti byly poprvé objeveny a nahlášeny přímo společnosti Microsoft agenturou NSA. To znamená, že máme jen velmi omezený časový rámec pro aplikaci těchto záplat bez velkého rizika ohrožení bezpečnosti.

Velmi krátké okno strávené internetem však může znamenat dny nebo týdny.

Proč se ptáš?

Analýzou záplat, které dnes Microsoft vydal, mohou hackeři rychle identifikovat, jaký kód byl změněn. Záplaty jsou pro hackery jako mapa pokladu, kterou mohou sledovat prostřednictvím změn zdrojového kódu a zpětného inženýrství, dokud nenajdou zranitelnost. Poté je zneužijí jako zbraň. it V tuto chvíli probíhá závod o identifikaci a využití těchto zranitelností mezi státy a hackerskými skupinami. Máme dny, možná týdny, než se tyto zranitelnosti stanou zbraní a začnou zneužívat vaše systémy.

Co bych měl/a udělat pro své podnikání?

Pokud máte proces správy upozornění na zranitelnosti, řiďte se jeho pokyny pro sadu zranitelností se závažností 1.
Dokud nenainstalujete záplaty na všech svých systémech, sledujte blogy o kybernetické bezpečnosti, zda neobjevují známky zneužití kódu.
Pokud nemáte VAMP, sežeňte svůj technický tým (týmy) a vymyslete plán, jak do 10 dnů (pokud možno co nejdříve) opravit všechny kritické systémy.
Pro ty z vás, kteří nemají definovaný proces správy záplat, byste po dokončení tohoto požárního cvičení měli zaregistrujte se do CyberHootu, stáhněte si náš VAMP a přizpůsobte si ho pro svou organizaci.

Co bych měl/a udělat pro sebe osobně?

Číslo verze vašeho systému Windows se může lišit, ale toto je aktualizace, kterou chcete – přejděte na Nastavení > Aktualizace a zabezpečení > Windows Update: