La seguridad es más esencial que jamás y el ransomware es más grande y peligroso que jamás. Apenas pasa una semana sin otro gran ataque de ransomware.
Один из способов замедлить или даже остановить эти атаки — постоянно обновлять операционные системы и критически важные приложения. Есть только один небольшой недостаток. Эти исправления, особенно исправления Microsoft для Windows, могут вызвать больше проблем, чем пользы. Чем заняться бизнесу?
Возьмем, к примеру, PrintNightmare. Эти дыры в безопасности службы диспетчера очереди печати Windows достаточно существенны для запуска принтера HP первого поколения весом семьдесят один фунт. Сейчас доступно множество атак, позволяющих скомпрометировать не только компьютеры с Windows 7 и 10, но и серверы Windows. Это огромная ошибка или что?
Но подождите, это еще не все. Это не единичный провал. Собственно, это две уязвимости безопасности: CVE-две тысячи двадцать один-тридцать четыре тысячи пятьсот двадцать семь и CVE-две тысячи двадцать одна тысяча шестьсот семьдесят пять, последняя из которых была «исправлена». во вторник июньские патчи от Microsoft. Этот недостаток диспетчера очереди печати оставил злоумышленникам ограниченные системные права на отдельном компьютере, позволяющие повысить привилегии до уровня администратора. Ошибка LPE (повышение локальных привилегий) была серьезной, но на самом деле это не был кошмар. Я бы назвал это дырой в безопасности по принципу «исправь и забудь».
О, но затем два исследователя безопасности покопались в Windows и обнаружили еще одну ошибку в диспетчере очереди печати: тридцать четыре тысячи пятьсот двадцать семь. Они думали, что только что нашли другой ракурс в 1675 году. Они запутались. А бесплатного патча на тридцать четыре тысячи пятьсот двадцать семь не было.
Это может выполняться как LPE и как скрытое выполнение кода (RCE). Знаете ли вы, что произойдет, если соединить LPE и RCE? Получите удаленную атаку на вашу корпоративную сеть, которая может атаковать любую вашу машину.
Да, я имею в виду, что существует протокол, который можно использовать для управления удаленными машинами. Угадай, что? Там было. Другой исследователь под ником Cube0x0 обнаружил, что этим эксплойтом можно злоупотреблять через асинхронный удаленный протокол системы печати (MS-PAR).
Ученые попытались прекратить свое открытие, когда поняли, что они сделали, но этого было слишком мало и слишком поздно. Когда что-то раскрывается в Интернете, это навсегда бесплатно. На момент написания статьи существует как минимум 3 публичных тестовых эксплойта.
6 июля Microsoft выпустила срочное требование «Исправьте это сейчас!» Спальня. При этом есть 2 недостатка. Во-первых, решение недоступно для Windows 10677, Windows Server 2012 и Windows Server 2016. Это раздражает. Далее, что не менее серьезно, оказывается, что это не сработает, если ваши машины используют функцию «Укажи и распечатай», что облегчит вашим сотрудникам доступ к принтерам.
Это настоящий беспорядок. Как заявил Уилл Дорманн, старший аналитик по уязвимостям CERT: «Это самый важный случай, с которым мне приходилось иметь дело за довольно долгое время. "Ты думаешь? На момент написания статьи миллионы корпоративных компьютеров (не говоря уже о каждом домашнем компьютере) открыты для этой атаки.
В этом отношении можно кое-что сделать, но ни одна компания на самом деле не хочет предпринимать такие шаги.
- Остановить-Сервис - Диспетчер очереди имен - Force
- Set-Service -Name Spooler -StartupType отключен
Я имею в виду принтеры. Кому это нужно? Я прав? На более практическом уровне: если вы оставляете доступ к Интернету для диспетчеров очереди печати на своих серверах или компьютере, заблокируйте его. Заблокируйте это сейчас. Для этого и существуют брандмауэры. Используйте их, используйте их. Это не помешает никому в вашей сети решить взломать ваши машины, но, по крайней мере, может помешать J. Random Hacker. Но возвращаясь к исходному вопросу: патчить или не патчить? В любом случае, в таком случае это не имело бы большого значения. Однако вернемся к февральскому вторнику обновлений. Если вы все еще использовали Windows 10 1909 в сети Wi-Fi с защитой Wi-Fi Protected Access 3 (WPA3), велика вероятность, что вы получите синий экран смерти. Так как же найти правильный баланс между обеспечением необходимой безопасности, не жертвуя при этом стабильностью ИТ-инфраструктуры вашей команды? Если вы похожи на большинство малых предприятий, вы не можете позволить себе нанять эксперта по безопасности на полный рабочий день. Но есть шаги, которые вы можете предпринять для защиты своего бизнеса независимо от вашего ИТ-бюджета. В то же время никто не должен слепо следовать рекомендациям Microsoft исправить это как можно скорее. По горькому личному опыту я знаю, насколько сложно восстановить Windows. Как минимум, чтобы снизить риск, создайте резервную копию всех ваших систем Windows непосредственно перед применением исправлений. Таким образом, если что-то пойдет не так, вы всегда сможете перезагрузиться и дождаться появления хорошего решения. Еще вам следует поддерживать стандартную систему Windows, которая отражает все стандартные конфигурации ваших работающих компьютеров. Эта машина — ваш назначенный бокс для убоя; используйте его для установки последних патчей. Затем запустите все свои приложения и проверьте, нет ли проблем. Если через день или два на вашем тестовом компьютере все будет в порядке, обновите все остальные машины. Конечно, вы всегда будете уязвимы для атак нулевого дня, таких как PrintNightmare, но мы все уязвимы для них. Если безопасность действительно является главным приоритетом для вашего бизнеса, откажитесь от Windows и вместо этого приобретите настольный компьютер Linux. Они на порядок безопаснее. Я знаю, что большинство людей не могут или не хотят следовать этому совету. Давайте посмотрим правде в глаза: большинство из нас застряли в Windows. Но если вы пытаетесь найти баланс между исправлениями и стабильностью, вы будете рады, что сделали это. В конце концов, вопрос не в том, подвергнетесь ли вы атаке на систему безопасности или поврежденному патчу, а в том, когда именно. Удачи.
Итак, прочтите это:
<p>Copyright © dos mil veintiuno IDG Communications, Inc.</p>