» »

Microsoft svari pred novim WannaCryjem

Microsoft svari pred novim WannaCryjem

Slo-Tech - Ko je črv WannaCry pred dvema letoma okužil milijone računalnikov in ohromil podjetja, bolnišnice in druge organizacije, ni šlo za izrabo sveže odkrite ranljivosti. Luknja je bila javno znana že dva meseca, prav toliko časa pa je obstajal tudi popravek, ki pa na številne računalnike ni našel poti. Ostalo je zgodovina. Microsoft se sedaj boji, da se utegne zgoditi podobno. Ranljivost BlueKeep je znana že več kot 14 dni, popravek obstaja, a obstaja vsaj milijon v internet povezanih računalnikov, ki ga še nimajo. To je problem, ker kode za njeno izrabo ni težko izdelati - nekateri etični hekerji so jo že, zato je le vprašanje časa, kdaj jo bodo tudi zlonamerni.

Microsoft sicer pogosto poudarja, da je redno posodabljanje programske opreme in krpanje ranljivosti nujno, a malokdaj izrecno in večkrat zapovrstjo priporočijo namestitev kakšnega točno določenega popravka. To pot so storili prav to in opozorili, da je milijona računalnikov še vedno potrebuje posodobitev. Ob tem so poudarili, da je ranljivost moč izrabiti na podoben način kakor WannaCry, ki je sejal strah leta 2017.

Bistven razlika v primerjavi s tistim časom vendarle obstaja. Medtem ko smo za ranljivost EternalBlue izvedeli marca 2017, je mesec dni kasneje na internet naplavilo kodo, ki jo izrablja. Šlo je za delo hekerske skupine Shadow Brokers, ki so pridobili podatke iz NSA, med drugim tudi izvorno kodo številnih orodij za vdiranje. Še mesec dni kasneje (torej maja) se je začel širiti WannaCry. Sedaj na internetu še ni kode, ki bi izrabljala BlueKeep in s tem omogočala enostavno izrabo ranljivosti. A to se lahko hitro spremeni. Tudi tokrat so ranljivi operacijski sistemi od Windows XP do vključno Windows 7, novejši pa ne. Windows 7 pa ima še vedno 40-odstotni tržni delež, nadpovprečno pa je zastopan prav tam, kjer so nadgradnje počasen in dolgotrajen proces, denimo v podjetjih.

11 komentarjev

smrko ::

Je ta popravek v windows updatu ali ga je treba posebej namestit?

737 ::

Me zanima, ali bodo izdali popravek tudi za Windows XP. Trenutno se na sveže inštaliran XP naložijo vse posodobitve, izdane do letošnjega aprila.

Saul Goodman ::

737 je izjavil:

Me zanima, ali bodo izdali popravek tudi za Windows XP. Trenutno se na sveže inštaliran XP naložijo vse posodobitve, izdane do letošnjega aprila.


če se ne motim, so za to "wormable" luknjo izdali popravke tudi za XP in druge predpotopne sisteme.

darkolord ::

Drži, popravek je tudi za XP, ga je treba pa ročno namestiti.

Matko ::

popravki za Win7, server 2008
https://portal.msrc.microsoft.com/en-US...

Za WinXP, Server 2003, Vista
https://support.microsoft.com/en-us/hel...

Mitigations
The following mitigation may be helpful in your situation. In all cases, Microsoft strongly recommends that you install the updates for this vulnerability as soon as possible even if you plan to leave Remote Desktop Services disabled:

1. Disable Remote Desktop Services if they are not required.

If you no longer need these services on your system, consider disabling them as a security best practice. Disabling unused and unneeded services helps reduce your exposure to security vulnerabilities.

HotBurek ::

V osnovi potrebuješ zapret port 3389:TCP. To lahko na firewall-u, pa tudi z GPO lahko urejaš client firewall, in še tam zapreš.

Podjetja to lahko rešijo, brez nadgradnje. Desktop upejte itka dajo takoj skos. Malo večji izziv so serverji, kjer potrebuješ RDP.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

Lonsarg ::

A pa ni ta port itak po default izklopljen na samem windows klientu, tak da je to nevarno zgolj za tiste, ki so ročno vklapljali?

Zgodovina sprememb…

  • spremenil: Lonsarg ()

darkolord ::

Malo večji izziv so serverji, kjer potrebuješ RDP.
Pa ne direkt odprtega na internet.

HotBurek ::

Res je. Dokler imaš ločene VLAN-e med dekstopi in strežniki, MAC mapirane IPje desktopov, katerim se sme dovolit dostop do RDPja na serverju, ter firewall rule (desktop source IP > server IP:3389) samo za te desktope.

Če je vse v enem VLAN-u, potem fašeš virus na eni random kišti, ta naredi port scan po celem subnetu, z direktnim dostopom do RDP od strežnika, in ga poheka.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

Evolve ::

prvič ne uporabljaj 3389 porta za rdp, sploh če imaš omrežje totalno amatersko postavljeno
drugič uporabljaj vpn za dostop do IS zunaj lokalnega omrežja
tretjič migriraj iz OS ki je star kot zemlja, če v letu 2019 še vedno uporabljaš windows 7 si zrel za pokoj
četrtič uporabljaj backup
petič uporabljaj antivirus
šestič če sam nisi sposoben uspešno upravljati z IS to prepusti strokovnjakom

MrStein ::

Lonsarg je izjavil:

A pa ni ta port itak po default izklopljen na samem windows klientu, tak da je to nevarno zgolj za tiste, ki so ročno vklapljali?

Tako je.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

WannaCry še ni mrtev, težave v Hondi

Oddelek: Novice / Kriptovalute
1511011 (9091) SeMiNeSanja
»

WannaCry okuževal večinoma Windows 7 (strani: 1 2 )

Oddelek: Novice / Kriptovalute
5625001 (20398) SeMiNeSanja
»

Microsoft ostro nad NSA: WannaCry ste razvili vi! (strani: 1 2 )

Oddelek: Novice / Znanost in tehnologija
5923626 (18967) MrStein
»

Globalna okužba se širi, proizvodnja ustavljena tudi v Revozu (strani: 1 2 3 4 )

Oddelek: Novice / Varnost
15456352 (44373) SeMiNeSanja

Več podobnih tem