Kerentanan Microsoft Kritikal

14 Januari 2020 | Blog, Sticky

14 Januari 2020: Hari ini Microsoft mengeluarkan tampung bulanan mereka dan antaranya ialah tiga isu Severity 1 kritikal yang memerlukan perhatian segera anda. Perniagaan harus menggunakan Proses Pengurusan Makluman Kerentanan untuk mencuba makluman ini dan segera merancang penampalan secepat mungkin. Sila anggap nasihat blog khas dari CyberHoot ini sebagai keadaan yang sangat luar biasa dan ambil tindakan yang sewajarnya secepat mungkin. Untuk meletakkan ini dalam perspektif - SEMUA sumber keselamatan siber saya mencadangkan perkara yang sama. Entiti pemerhati keselamatan siber kerajaan seperti CISA hanya mengeluarkan yang kedua Arahan Kecemasan pernah untuk kelemahan ini. Ini serius.

Sistem Terpengaruh:

Kerentanan penipuan CryptoAPI – CVE-2020-0601: Kerentanan ini menjejaskan semua mesin yang menjalankan sistem pengendalian Windows 32 64- atau 10-bit, termasuk Windows Server versi 2016 dan 2019.

Windows RD Gateway dan Windows Remote Desktop Client kelemahan – CVE-2020-0609, CVE-2020-0610 dan CVE-2020-0611: Kerentanan ini menjejaskan Windows Server 2012 dan lebih baharu. Selain itu, CVE-2020-0611 mempengaruhi Windows 7 dan lebih baharu.

IMPAK Kerentanan:

Bahagian nasihat ini menggariskan potensi kesan jika kelemahan ini dieksploitasi.

Kerentanan penipuan CryptoAPI – CVE-2020-0601:

Kerentanan ini membenarkan perisian yang tidak diingini atau berniat jahat untuk menyamar sebagai perisian yang sah yang ditandatangani secara sahih oleh organisasi yang dipercayai atau boleh dipercayai. Ini boleh menipu pengguna untuk memasang perisian hasad yang kelihatan sah. Ia juga boleh menggagalkan perisian perlindungan seperti antivirus daripada mengesan pemasangan sedemikian sebagai berniat jahat. Selain itu, penyemak imbas yang bergantung pada Windows CryptoAPI akan buta terhadap serangan, membenarkan penyerang menyahsulit, mengubah suai atau menyuntik data pada sambungan pengguna tanpa pengesanan.

Windows RD Gateway dan Windows Remote Desktop Client kelemahan – CVE-2020-0609, CVE-2020-0610 dan CVE-2020-0611:

Kerentanan ini membolehkan pelaksanaan kod jauh, di mana kod arbitrari boleh dijalankan secara bebas pada kedua-dua Gerbang Web RD dan mana-mana pelanggan yang menyambung ke gerbang berniat jahat. Kerentanan pelayan tidak memerlukan pengesahan [yang sungguh teruk] atau interaksi pengguna dan boleh dieksploitasi oleh permintaan yang dibuat khas. Kerentanan pelanggan boleh dieksploitasi dengan meyakinkan pengguna untuk menyambung ke pelayan berniat jahat. Apabila digabungkan, mana-mana gerbang Web RD boleh diambil alih untuk menjadi pelayan berniat jahat yang kemudiannya mengambil alih semua mesin pelanggan yang menyambungkan. [adakah saya mengatakan ini sangat teruk?]

Adakah terdapat berita baik?

Sebenarnya ya. [weh!] Kerentanan ini ditemui dan dilaporkan, buat kali pertama, oleh NSA, kepada Microsoft secara langsung. Ini bermakna kami mempunyai tetingkap yang sangat kecil untuk menggunakan tampalan ini tanpa risiko kompromi yang besar.

Walau bagaimanapun, tetingkap masa Internet yang sangat kecil boleh bermakna beberapa hari atau minggu.

Mengapa anda bertanya?

Dengan menganalisis tampalan yang dikeluarkan Microsoft hari ini, pelaku jahat boleh mengenal pasti kod yang telah diubah dengan cepat. Tampalan itu seperti peta harta karun untuk diikuti oleh penggodam, melalui perubahan kod sumber, merekayasa balikkannya, sehingga mereka menemui kelemahan. Kemudian mereka bersenjata it mereka. Terdapat perlumbaan yang berlaku semasa kita bercakap untuk mengenal pasti dan mempersenjatai kelemahan ini oleh negara bangsa dan kumpulan penggodam. Kami mempunyai hari, mungkin minggu, sebelum kelemahan ini dipersenjatai dan mula mengeksploitasi sistem anda.

Apakah yang perlu saya lakukan untuk perniagaan saya?

Jika anda mempunyai Proses Pengurusan Makluman Kerentanan, ikut garis panduannya untuk set kerentanan Keterukan 1.
Sehingga anda telah menambal semua sistem anda. pantau blog berita keselamatan siber untuk sebarang tanda kod eksploitasi memasuki alam liar.
Jika anda tidak mempunyai VAMP, kemudian tarik pasukan teknikal anda bersama-sama dan buat rancangan untuk menambal semua sistem kritikal anda dalam masa 10 hari (lebih cepat jika boleh).
Bagi anda yang tidak mempunyai proses pengurusan tampung yang ditetapkan, sebaik sahaja anda menyelesaikan latihan kebakaran ini, anda harus melakukannya mendaftar untuk CyberHoot, muat turun VAMP kami dan sesuaikan dengan organisasi anda.

Apakah yang perlu saya lakukan untuk diri saya sendiri?

Nombor versi Windows anda mungkin berbeza-beza, tetapi ini ialah kemas kini yang anda mahu – pergi ke Tetapan > Kemas kini & Keselamatan > Windows Update: