Срочно проверьте обновления Windows!
Это не учебная тревога. Обновление безопасности от 13 сентября, должно быть установлено у всех, иначе вы в серьезной опасности.
Исправленная в сентябре уязвимость в SPNEGO NEGOEX (CVE-2022-37958), сегодня была оценена Майкрософт как «критическая». Ведь она позволяет злоумышленникам удаленно выполнить код используя любой из протоколов, где используется механизм SPNEGO, к примеру:
- RDP
- SMB
- SMTP
- HTTP
Ведь в каждом из них SPNEGO включен по умолчанию, начиная с Windows 7. Значит каждая система без обновлений безопасности по умолчанию становится уязвима для целого набора векторов атак! Печально известный WannaCry использовал уязвимость только одного протокола – SMB, и мы помним к чему это привело. А тут уязвимых протоколов как минимум 4.
Предыдущая оценка уязвимости, судя по всему, была «прикрытием», чтобы не привлекать внимание злоумышленников к изучению уязвимости до массовой установки обновлений. Теперь, когда это раскрыто, ожидаем волну атак.
Рекомендации:
- Проверить/установить обновления безопасности от 13 сентября 2022г.
- Непрерывный мониторинг внешнего периметра, особенно веб-сервера IIS.
- Если обновления установить невозможно, то в качестве компенсирующей меры можно выставить провайдеры аутентификации(authentication providers) в настройках Windows в "Kerberos" или "Net-NTLM" и удалить "Negotiate" из провайдеров по умолчанию.
С уважением отметим, что уязвимость обнаружила Valentina Palmiotti. От нее же видео с эксплуатацией.
Это не учебная тревога. Обновление безопасности от 13 сентября, должно быть установлено у всех, иначе вы в серьезной опасности.
Исправленная в сентябре уязвимость в SPNEGO NEGOEX (CVE-2022-37958), сегодня была оценена Майкрософт как «критическая». Ведь она позволяет злоумышленникам удаленно выполнить код используя любой из протоколов, где используется механизм SPNEGO, к примеру:
- RDP
- SMB
- SMTP
- HTTP
Ведь в каждом из них SPNEGO включен по умолчанию, начиная с Windows 7. Значит каждая система без обновлений безопасности по умолчанию становится уязвима для целого набора векторов атак! Печально известный WannaCry использовал уязвимость только одного протокола – SMB, и мы помним к чему это привело. А тут уязвимых протоколов как минимум 4.
Предыдущая оценка уязвимости, судя по всему, была «прикрытием», чтобы не привлекать внимание злоумышленников к изучению уязвимости до массовой установки обновлений. Теперь, когда это раскрыто, ожидаем волну атак.
Рекомендации:
- Проверить/установить обновления безопасности от 13 сентября 2022г.
- Непрерывный мониторинг внешнего периметра, особенно веб-сервера IIS.
- Если обновления установить невозможно, то в качестве компенсирующей меры можно выставить провайдеры аутентификации(authentication providers) в настройках Windows в "Kerberos" или "Net-NTLM" и удалить "Negotiate" из провайдеров по умолчанию.
С уважением отметим, что уязвимость обнаружила Valentina Palmiotti. От нее же видео с эксплуатацией.