Microsoftova cestarina za crni utorak: KB 3003743, IE11, EMET 5 i sigurnosne web emisije

S 14 sigurnosnih ažuriranja koja uključuju ispravke za 33 odvojeno identificirane sigurnosne rupe, 14 novih nesigurnih zakrpa, dvije izmjene u instalacijskim programima za starije sigurnosne zakrpe i tri izmjene za starija nesigurna ažuriranja, crni utorak u studenom zauzima mjesto jednog od najtežih ikad. No, sami flasteri samo su dio priče.

Ovomjesečne zakrpe za Crni utorak započele su s čudnim - premda punim nade - znakom. Microsoft je dobrovoljno povukao dva Sigurnosna biltena (s nepoznatim brojem povezanih zakrpa) prije nego što su pušteni. I MS14-068 i MS14-075 navedeni su u službenom sažetku Sigurnosnog biltena kao "Datum izdavanja koji će se odrediti." Nikad prije nisam vidio tu oznaku. Vjerojatno je Microsoft uhvatio bugove u zakrpama i izvukao ih u zadnji trenutak. Ako je tako, to je vrlo pozitivan razvoj događaja.

Vidim sporadična izvješća o KB 3003743 - dijelu MS14-074 - razbijanju istodobnih RDP sesija. Poster turducken na forumima My Digital Life postavlja to:

Današnja ažuriranja uključuju KB3003743, a s njim dolazi i termsrv.dll verzija 6.1.7601.18637

Jason Hart također je tweetao da KB 3003743 ubija softver za virtualizaciju tvrtke NComputing.

To zvuči podsjećajući na probleme koje je prošlog mjeseca izazvao KB 2984972, koji je također blokirao istodobne RDP sesije na nekim računalima. Jednostavno rješenje prošlog mjeseca bilo je deinstaliranje zakrpe i RDP je ponovno počeo raditi. Microsoft ima daleko složenije rješenje u članku KB 2984972. U ovom trenutku nema naznaka radi li ručno rješenje s KB 3003743. Također nisam čuo jesu li pogođeni neki App-V paketi - još jedno obilježje loše zakrpe KB 2984872 prošlog mjeseca.

Ako koristite IE11 i EMET, važno je prijeći na najnoviju verziju, EMET 5.1, prije instaliranja ovog mjeseca MS14-065 / KB 3003057 zakrpe. Blog TechNet kaže ovako:

Ako koristite Internet Explorer 11, bilo u sustavu Windows 7 ili Windows 8.1, a implementirali ste EMET 5.0, osobito je važno instalirati EMET 5.1 jer su otkriveni problemi kompatibilnosti sa sigurnosnim ažuriranjem Internet Explorera u studenom i ublažavanjem EAF +. Da, EMET 5.1 upravo je objavljen u ponedjeljak.

U tisku postoji određena zabrinutost da bi novoispravljena programska pogreška "schannel" mogla biti jednako raširena i iskoristiva kao i zloglasna rupa OpenSSL Heartbleed otkrivena ranije ove godine.

Nema sumnje, trebali biste instalirati MS14-066 / KB 2992611 na bilo koji Windows sustav koji pokreće web poslužitelj, FTP poslužitelj ili poslužitelj e-pošte - prije, nego kasnije. No, trebate li odmah sve ispustiti i zakrpati svoje poslužitelje? Mišljenja se razlikuju.

SANS-ov internetski centar za oluje, koji obično zauzima vrlo proaktivno stajalište za krpljenje, ovime štiti svoje oklade. SANS ima MS14-066 naveden kao "kritičan", a ne kao strašniji "zakrpi odmah". Dr. Johannes Ullrich nastavlja:

Pretpostavljam da vjerojatno imate tjedan dana, možda i manje, da popravite svoje sustave prije nego što exploit bude objavljen. Imate li dobar popis svojih sustava? Tada ste u dobroj formi da ovo uspijete. U ostatku (velika većina?): Dok krpite, također smislite mjere mjera i alternativne konfiguracije za slučaj nužde.

Najvjerojatnija meta su SSL usluge do kojih je moguće doći izvana: web i poslužitelji pošte bili bi na vrhu mog popisa. No, ne može vam naštetiti da provjerite izvješće sa zadnjeg vanjskog skeniranja vaše infrastrukture i vidite imate li još što. Vjerojatno bi bilo dobro ponoviti ovo skeniranje ako ga niste redovito zakazali.

Slijedi prelazak na interne poslužitelje. Do njih je malo teže doći, ali imajte na umu da vam treba samo jedna unutarnja zaražena radna stanica da biste ih razotkrili.

Treće: Putujuća prijenosna računala i slično koji ostavljaju vaš obod. Oni bi već trebali biti zaključani i vjerojatno neće slušati ulazne SSL veze, ali ne može naštetiti ponovnoj provjeri. Neki neobični SSL VPN? Možda neki instant messenger softver? Brzo skeniranje priključaka trebalo bi vam reći više.

Nekoliko urbanih mitologija već se stvara oko schannela. U tisku možete pročitati da sigurnosna rupa na schannelu postoji već 19 godina. Nije istina - greška u schannelu identificirana je kao CVE-2014-6321, a otkrili su je neidentificirani istraživači (moguće unutar Microsofta). To je rupa u softveru za HTTPS veze.

19-godišnja ranjivost, koju je otkrio istraživački tim IBM X-Force, je CVE-2014-6332. To je rupa u COM-u koju je moguće iskoristiti putem VBScripta. To je pogreška koju je popravio MS14-064 / KB 3011443. Kao što najbolje znam, dvije sigurnosne ranjivosti nemaju ništa zajedničko.

Nemojte se zbuniti. BBC je pomiješao dvije sigurnosne rupe, a ostale vijesti papagajski izvješćuju.

Što se tiče iznenadnog nestanka mjesečnog sigurnosnog web-prijenosa - nije bilo službene najave, ali Dustin Childs, koji je nekad vodio web-prijenose, ponovno je dodijeljen, a ja nisam uspio pronaći web-emisiju za sigurnosne biltene u studenom. Ranije jutros, Childs je tweetao:

14 biltena umjesto 16 - nisu ih ni numerirali. Nema prioriteta implementacije. Nema preglednog videozapisa. Nema web prijenosa. Valjda se stvari mijenjaju.

To je zapanjujući razvoj, posebno za svakoga tko mora razumjeti Microsoftove sklonosti krpanja. Ako ne prebrojite biltene, neće poljuljati ničiju vjeru u Microsoftov režim zakrpe - smatram to dobrodošlom promjenom. No, nedostatak mjesečnog popisa prioriteta postavljanja sigurnosnih biltena, preglednog videa ili web-prijenosa ostavlja većinu profesionalnih sigurnosnih stručnjaka za Windows na cjedilu. Microsoft već godinama objavljuje pregledni videozapis za Crni utorak, a web prijenos nudi puno prljavih savjeta koji nisu dostupni nigdje drugdje.

Ako su web-prijenosi povučeni - ne vidim službenu potvrdu - posebno, korporativni Microsoftovi kupci imaju dobar razlog za žalbu.