Критические уязвимости Microsoft

14 января 2020 г.: Сегодня Microsoft выпустила ежемесячные обновления, среди которых три критических проблемы уровня 1, требующие вашего немедленного внимания. Компаниям следует использовать процесс управления оповещениями об уязвимостях для их сортировки и немедленного планирования исправления. Пожалуйста, расценивайте это специальное сообщение в блоге CyberHoot как крайне необычную ситуацию и примите соответствующие меры как можно скорее. Для сравнения: ВСЕ мои источники в области кибербезопасности говорят об одном и том же. Государственные органы по надзору за кибербезопасностью, такие как CISA, выпустили только второй… Директива о чрезвычайной ситуации когда-либо для этих уязвимостей.  Это серьезно.

Затронутые системы:

Уязвимость подмены CryptoAPI – CVE-2020-0601: Эта уязвимость затрагивает все машины, работающие под управлением 32- или 64-разрядных операционных систем Windows 10, включая версии Windows Server 2016 и 2019.

Уязвимости Windows RD Gateway и клиента удаленного рабочего стола Windows — CVE-2020-0609, CVE-2020-0610 и CVE-2020-0611: Эти уязвимости затрагивают Windows Server 2012 и более поздние версии. Кроме того, уязвимость CVE-2020-0611 затрагивает Windows 7 и более поздние версии. 

Уязвимость ImpACT:

В этом разделе рекомендаций описываются потенциальные последствия эксплуатации этих уязвимостей.

Уязвимость подмены CryptoAPI – CVE-2020-0601:

• Эта уязвимость позволяет нежелательному или вредоносному ПО маскироваться под легитимное ПО, подписанное доверенной или заслуживающей доверия организацией. Это может обманом заставить пользователей установить вредоносное ПО, выглядящее как легитимное. Это также может помешать защитным программам, таким как антивирусы, распознавать такие установки как вредоносные. Кроме того, браузеры, использующие Windows CryptoAPI, будут невосприимчивы к атакам, что позволит злоумышленнику расшифровывать, изменять или внедрять данные в пользовательские соединения без обнаружения.

Уязвимости Windows RD Gateway и клиента удаленного рабочего стола Windows — CVE-2020-0609, CVE-2020-0610 и CVE-2020-0611: 

• Эти уязвимости позволяют удалённо выполнять код, при этом произвольный код может свободно запускаться как на шлюзе RD Web Gateway, так и на любом клиенте, подключающемся к вредоносному шлюзу. Уязвимости сервера не требуют аутентификации.что действительно плохо] или взаимодействие с пользователем, и может быть эксплуатирована посредством специально созданного запроса. Уязвимость клиента может быть эксплуатирована путем убеждения пользователя подключиться к вредоносному серверу. В результате такого взаимодействия любой шлюз RD Web может стать вредоносным сервером, который затем захватит все подключающиеся клиентские машины. [Разве я сказал, что это действительно плохо?]

Есть хорошие новости?

На самом деле да. [ух ты!] Эти уязвимости были обнаружены и впервые сообщены непосредственно Microsoft Агентством национальной безопасности. Это означает, что у нас есть очень ограниченное время для установки этих исправлений без значительного риска компрометации.

Однако очень короткий период времени в Интернете может длиться днями или неделями. 

Почему вы спрашиваете? 

Анализируя патчи, выпущенные Microsoft сегодня, злоумышленники могут быстро определить, какой код был изменён. Эти патчи — своего рода карта сокровищ, по которой хакеры могут отслеживать изменения исходного кода, проводя обратную разработку, пока не найдут уязвимость. Затем они используют её в качестве оружия. it В этот момент государства и хакерские группировки ведут гонку за выявление и использование этих уязвимостей в качестве оружия. У нас есть дни, а может быть, и недели, прежде чем эти уязвимости будут превращены в оружие и начнут эксплуатировать ваши системы.

Что мне следует сделать для своего бизнеса?

1. Если у вас есть процесс управления оповещениями об уязвимостях, следуйте его рекомендациям для набора уязвимостей уровня серьезности 1.
2. Пока вы не исправите все свои системы, следите за блогами новостей по кибербезопасности на предмет любых признаков проникновения кода эксплойта в сеть.
3. Если у вас нет VAMP, то соберите свою техническую(ие) команду(ы) и разработайте план по исправлению всех критически важных систем в течение 10 дней (можно и раньше).
4. Для тех из вас, у кого нет четкого процесса управления исправлениями, после завершения этой пожарной тревоги, вам следует зарегистрироваться на CyberHoot, загрузите наш VAMP и адаптируйте его для своей организации.

Что мне лично следует сделать?

Номер вашей версии Windows может отличаться, но это именно то обновление, которое вам нужно — перейдите по ссылке Настройки > Обновление и безопасность > Центр обновления Windows:

Ссылки Статьи:

https://cyber.dhs.gov/ed/20-02/ 

https://www.us-cert.gov/ncas/alerts/aa20-014a

Блог Брайана Кребса о кибербезопасности

Блог Sophos по кибербезопасности – Критические уязвимости Microsoft = Исправьте сейчас

Достаточно ли вы делаете для защиты своего бизнеса?

Зарегистрируйтесь в CyberHoot сегодня и спите лучше, зная свой

Сотрудники прошли киберподготовку и всегда начеку!

Зарегистрироваться Сегодня!