Январь 2020, вторник — день обновлений от Microsoft

Новый год уже наступил, а значит, снова можно воспользоваться возможностью начать все с чистого листа, забыть прошлое и сделать что-то по-новому. Если вы работаете в сфере ИТ и не устанавливали обновления для системы безопасности в 2019 году, сейчас самое подходящее время, чтобы снова начать это делать и быть в курсе выхода последних наборов изменений, ведь начинается новая эпоха бурных двадцатых.

Мне, как аналитику и писателю в области безопасности, тоже следует сделать шаг назад и оценить то, как я освещаю ежемесячные обновления систем безопасности. За последние несколько лет компания Microsoft поменяла процедуру выпуска исправлений, поэтому пришло время по-новому писать о них. Существует несколько других сайтов, которые также составляют ежемесячные сводки выхода пакетов исправлений, поэтому, вероятно, старые добрые списки KB и СVE — не самая лучшая тактика. В конце концов, вы можете найти эту информацию в списках обновлений для системы безопасности на сайте Microsoft и даже скачать их в виде электронной таблицы или отсортировать и отфильтровать на сайте.

Поэтому в этом году в статье «Обновления по вторникам» вместо списка ссылок я буду более подробно рассматривать интересующую вас информацию о наиболее важных уязвимостях и их исправлениях. Я надеюсь, это будет полезнее.

Помимо плохой погоды в ряде регионов США и штормов в Карибском море, этот январь принес довольно много пакетов исправлений. В Windows 10 было исправлено 29 уязвимостей, 23 в Windows 8.1 и 18 в Windows 7 (для данной ОС это был последний набор регулярных обновлений систем безопасности, но об этом чуть позже). Одна из этих уязвимостей, в частности, попала в заголовки и является причиной того, почему в этом месяце как никогда важно как можно скорее установить обновления.

Давайте сначала взглянем на самую большую уязвимость Windows, которая попала во все новости после выпуска пакета исправлений.

Критическая уязвимость Crypt32.dll

Большинство обновлений по вторникам остаются без особого внимания в ведущих СМИ. Тем не менее, время от времени, появляется достаточно серьезная уязвимость, способная привлечь внимание таких изданий, как «Форбс» и «Вашингтон пост», и именно с такого случая начинается 2020 год.

CVE-2020-0601 — это именно та нашумевшая уязвимость, позволяющая подделать Windows CryptoAPI в Windows 10, Server 2016 и Server 2019. Если точнее, эта уязвимость вызвана тем, как Windows CryptoAPI (crypt32dll) проверяет сертификаты Elliptic Curve Cryptography (ECC).

Как вы, вероятно, знаете, ECC — это наиболее быстрый и легко масштабируемый тип криптографии, который требует меньше вычислительных мощностей и обеспечивает более надежное шифрование, чем традиционное методы шифрования SSL (Secure Sockets Layer) / TLS (Transport Layer Security). Цифровые сертификаты, использующие алгоритмы генерации подписей ECC, дают очевидные преимущества.

Эта уязвимость была обнаружена членами группы по кибербезопасности Агентства национальной безопасности (NSA), которые затем сообщили об этом Microsoft. Уязвимость мог использовать злоумышленник, задействуя поддельный сертификат для подписи кода, чтобы файл вредоносного ПО выглядел так, как будто он поступил из надежного источника. При подписании кода используется цифровая подпись на базе сертификата для проверки личности автора исполняемой программы или сценария, чтобы пользователь мог понять, что программному обеспечению можно доверять. Таким образом, вредоносный исполняемый файл, например, вирус-вымогатель или шпионское ПО, можно было выдать за неподдельный. Злоумышленник также мог использовать эту уязвимость для расшифровки конфиденциальной информации после подключения пользователя к программному обеспечению.

По заявлению NSA,: «еЕсли бы уязвимость не была устранена, последствия были бы серьезными и масштабными. Вероятно, были бы быстро разработаны инструменты удаленного использования уязвимости, которые стали бы широко распространены». Особенно опасной эту уязвимость делает то, что злоумышленник может проводить удаленную атаку посредника и скомпрометировать каналы связи, которые считаются надежными, что позволяет изменять сообщения, которыми, помимо прочих, обмениваются банки, важнейшие объекты инфраструктуры или правительственные системы.

Говорят, что Microsoft предоставила пакет исправлений правительственным учреждениям США и военным ведомствам еще до его публичного релиза во вторник. Эксперт по безопасности Брайан Кребс предсказал обновления за день до того, как оно было официально обнародовано. По сообщениям, Microsoft не обнаружила использования этой уязвимости с 14 января, но теперь, когда она была обнародована, крайне важно обновить все уязвимые системы. Нужно обновить все сборки Windows 10, 32- и 64-разрядных версий и Server 2016 и 2019, включая ядра серверов.

После установки обновления, если будет предпринята попытка использовать уязвимость, в журнале событий будет сгенерировано событие с идентификатором 1, как показано в разделечасто задаваемых вопросов.

Критическая уязвимость клиента удаленного рабочего стола RCE

Хотя CVE-2020-0601 и освящается больше всего в прессе, существует и другая критическая уязвимость — уязвимость, приводящая к удаленному выполнению кода в клиентском компоненте удаленного рабочего стола Windows. Она затронула все поддерживаемые в настоящее время версии клиентских и серверных операционных систем Windows, включая Windows RT 8.1 и основные установки сервера ОС сервера. Проблема заключается в том, как клиент RDP обрабатывает запросы на соединение.

CVE-2020-0611 сложнее использовать, поскольку для этого необходимо подключение клиента к вредоносному серверу. Таким образом злоумышленник должен управлять подобным сервером и убедить пользователя подключиться к нему. Microsoft утверждает, что на практике не было обнаружено ни одного случая использования этой уязвимости, к тому же она не была известна широкой публике до выпуска пакета исправлений.

Критическая уязвимость удаленного рабочего стола (шлюз RD) RCE

Шлюз удаленных рабочих столов — это встроенная в Windows Server служба, которая позволяет удаленным компьютерам, на которых работает клиент RDP, безопасно подключаться к компьютерам организации, работающим под управлением Windows и входящим в корпоративную сеть, без необходимости создания виртуальной защищенной сети (VPN).

CVE-2020-0609 — это уязвимость данного сервиса, которую можно использовать для выполнения произвольного кода в целевой системе, подключив ее через RDP и отправив специально созданный запрос на шлюз RD. Эта уязвимость присутствует в Windows Server версий 2012, 2012R2, 2016 и 2019. Microsoft не обнаружила практических случаев ее использования, кроме того она не была публично опубликована до выпуска пакета исправлений.

Критическая уязвимость повреждения памяти в Internet Explorer

Согласно статистике по использованию веб-браузеров, опубликованной на NetMarketShare.com, на декабрь 2019 года Internet Explorer использовало менее 8 % пользователей, тогда как Google Chrome занимает более 67 % рынка. Тем не менее, Internet Explorer установлен на многих компьютерах, работающих под управлением Windows, поэтому стоит обратить внимание на эту уязвимость RCE.

CVE-2020-0640 — это уязвимость, которая присутствует на всех поддерживаемых в настоящее время версиях Internet Explorer. Когда IE некорректно обращается к объектам в памяти, уязвимость может привести к повреждению памяти, что злоумышленник может использовать для выполнения произвольного кода. Злоумышленник может разместить специальный сайт, предназначенный для использования уязвимости Internet Explorer, а затем завлечь на него пользователя. Злоумышленник также может использовать взломанный сайт или сайт, на котором хранятся или размещаются пользовательские файлы или рекламные объявления. Он может создать вредоносный контент, который будет использовать уязвимость.

Вероятность использования этой уязвимости относительно низкая, учитывая то, что злоумышленнику придется найти способ убедить пользователя IE посетить скомпрометированный или вредоносный сайт. Microsoft не обнаружила практических случаев ее использования, кроме того она не была публично опубликована до выпуска пакета исправлений. Тем не менее, если в вашей организации есть компьютеры, на которых установлен IE версии 9, 10 или 11, их необходимо обновить, чтобы защитить от этой уязвимости.

Последнее обновление системы безопасности для Windows 7

Как мы отметили в прошлой статье «Обновления по вторникам», в этом месяце выходят последние обновления для заканчивающей свою службу Windows 7, срок расширенной поддержки которой истекает 14 января. К сожалению, даже несмотря на то, что ОС уже десять лет (жизнь программного обеспечения измеряется как и в собачьих годах, т.е. она уже устарела), на ней все еще работают миллионы компьютеров.

По данным Лаборатории Касперского, почти половина (48 %) малых, средних и крупных предприятий все еще используют операционные системы, срок эксплуатации которых уже истек. Windows 7, безусловно, составляет самую большую долю. Согласно статистике по использованию ОС, опубликованную NetMarketShare.com статистике по использованию ОС, опубликованной NetMarketShare.com, на декабрь 2019 года Windows 7 все еще занимает почти 38 % рынка клиентских операционных систем.

Помимо того, что больше не будут выходить обновления безопасности и новые функции, а также исправляться ошибки, Microsoft больше не будет осуществлять техническую поддержку. Windows 7 продолжит работать в обычном режиме, но со временем риск будет только возрастать. К сожалению, предложение Microsoft бесплатно обновить систему до Windows 10 закончилось еще в 2016 году, поэтому теперь придется приобретать полную версию. Другая проблема еще заключается в том, что Windows 10, вероятно, не будет нормально работать на некоторых старых компьютерах, поэтому может потребоваться покупка нового оборудования.

Если в вашей организации все еще используется Windows 7, важно разработать план перехода на новую и более безопасную ОС. Если ваша компания вынуждена соблюдать нормативные требования, то использование неподдерживаемой операционной системы может привести к нарушению этих требований. Помните, что в наше время, после ввода таких законов, как Общий регламент по защите данных Европейского союза (GDPR) и Новый Калифорнийский закон о защите прав потребителей (CCPA), все больше организаций должны соблюдать эти требования.

Даже если соблюдение нормативных требований не является для вас проблемой, использование систем, подключенных к Интернету, не защищенных постоянными обновлениями, подвергает риску не только ваши собственные данные, но и данные ваших клиентов, поставщиков, партнеров и других лиц, с которыми вы обмениваетесь данными в электронном виде. В свое время Windows 7 была отличной операционной системой, но как бы вы ее ни любили, сейчас самое время оставить ее в прошлом.