Дата публикации: 13.01.2020
Microsoft заткнула 50 дыр в безопасности. Одной из них – 20 лет.
Microsoft заткнула 50 дыр в безопасности. Одной из них – 20 лет.
Да, можно пошутить насчёт сыра, наверное. Только… немалому числу предприятий и государственных структур вплоть до «оборонки», да и частным лицам тоже, сейчас будет не до смеха: теперь они вынуждены переходить со своих старых налаженных систем Microsoft на новые Windows 10 и Windows Server 2016/19, поскольку только они получили обновления, закрывающие крайне опасные прорехи. Что до старых операционных систем, то их, конечно, можно использовать и дальше, но в свете объявленных проблем безопасности – это довольно рисково. Особенно, когда есть что скрывать в мире, где информация стала более универсальной валютой, чем все прочие деньги.
Во вторник, 14-го января, Microsoft выпустила пакет обновлений безопасности с исправлениями ошибки CVE-2020-0601 в Windows 10 и серверных эквивалентах этой операционной системы, которая позволяла злоумышленникам подделать цифровую подпись, привязанную к определённому программному обеспечению. Это давало возможность вредоносному ПО представиться системе легальной программой, созданной и подписанной законной софтверной компанией. Таким образом, шпион мог свободно пройти, словно «по рекомендации».
Эта ситуация вызвала беспрецедентное публичное предупреждение от Агентства Национальной Безопасности США. В частности, в сообщении говорится: «АНБ оценивает уязвимость как серьёзную <…> искушённые кибер-игроки очень быстро поймут основной недостаток и, если его использовать, сделают ранее упомянутые платформы фундаментально уязвимыми». Отмечается, что атаки, сделанные от имени объектов доверия системы, невозможно отразить полностью хотя бы потому, что первоисточник замаскирован и не вызывает подозрений у самой системы безопасности. И лишь полная проверка всех «доверенных лиц» может решить возникшую проблему. Но на это потребуются ресурсы и время, которое может сыграть не в вашу пользу.
Мэтью Грин, адъюнкт-профессор кафедры информатики в Университете Джона Хопкинса, говорит, что эта ошибка связана с очевидной слабостью реализации компонента Windows, отвечающего за проверку законности запросов на проверку подлинности для множества функций безопасности в операционной системе. Иллюстрируя, что называется, «на пальцах», он продолжает: «Представьте: если я захочу взломать замок вашей входной двери, мне может быть трудно придумать ключ, который откроет её. Но что если я смогу подделать или подарить и ключ, и замок одновременно?»
Кеннет Уайт, руководитель отдела безопасности в компании-разработчике программного обеспечения MongoDB, приравнивает данную уязвимость к телефонному звонку, который направляется не туда, куда вы звоните: «Вы поднимаете трубку, набираете номер и предполагаете, что разговариваете со своим банком, Microsoft или кем-то ещё, но часть программного обеспечения, которая подтверждает, с кем вы разговариваете, ошибочна», – сказал Уайт. «Это довольно плохо, особенно когда ваша система говорит, что нужно автоматически загружать это программное обеспечение или патч, и это делается в фоновом режиме».
Учитывая вовлеченные ставки, ситуация будет меняться довольно стремительно. И прежде, чем лидеры по безопасности и/или плохие парни разработают способы использования этой ошибки, пройдет всего лишь от нескольких часов до нескольких дней.
И кто будет первым? Да уж, интрига. Особенно если учесть, что уже во вторник вечером показались признаки того, что люди пробуют такие методы. И наиболее удачные их них, скорее всего, скоро будут опубликованы в Интернете.
По словам Qualys, поставщика систем безопасности, только 8 из 50-ти ошибок, исправленных в сегодняшнем обзоре исправлений от Microsoft, получили самый страшный «критический» рейтинг компании. Это обозначение, зарезервированное для ошибок, которые могут быть использованы удаленно вредоносным ПО или злоумышленниками для получения полного контроля над целевым компьютером без какой-либо помощи от его пользователей.
Ещё раз: некоторые из этих критических недостатков включают прорехи безопасности в способе, которым Windows реализует подключение к удаленному рабочему столу – функцию, позволяющую системам получать доступ, просматривать и контролировать, как если бы пользователь находился непосредственно перед удаленным компьютером. Другие важные исправления включают обновления для веб-браузеров и механизмов веб-сценариев, встроенных в Windows, а также исправления для ASP.NET и .NET Framework.
Исправление безопасности для описанных ошибок предложено пользователям Windows как часть пакета исправлений, выпущенных недавно Microsoft для всех своих поддерживаемых продуктов. В число которых, увы, Windows 7 больше не входит. Вот что сказано на сайте компании по этому поводу:
«Внимание: 14 января 2020 г. заканчивается поддержка Windows 7, Windows Server 2008, Windows Server 2008 R2. Заказчики, продолжающие использовать данные ОС, получат обновления безопасности 14 января в рамках стандартной процедуры выпуска обновлений. После чего обновления безопасности будут доступны только заказчикам с контрактом Extended Security Updates (ESU). Подробности о ESU можно получить в этой статье».
Так что впредь Microsoft не будет поставлять обновления безопасности для личных, «домашних» версий этой ОС. И если вы используете «семёрку» повседневно дома, на работе, для бизнеса или в личных целях, возможно, пришло время подумать о переходе на что-то более актуальное.
По материалам KrebsOnSecurity