Последние сообщения о небывалой (оценка по CVSS 10 баллов) уязвимости, затрагивающей все версии Windows Server-а выпущенные за последние 12 лет (начиная с Windows Server 2008 и заканчивая 2019-ым) выглядят достаточно устрашающе.
На это есть несколько причин:
1. Информация о уязвимости опубликована 15 июля, вместе с ней были опубликованы и ее патчи («прививки» от Билла Гейтса). Но в 2017-ом году эпидемия WannaCry была сверх-успешной спустя 2 месяца после выпуска обновлений безопасности (корпоративные политики обновлений как правило консервативны, плюс врожденный пофигизм или отсутствие системных администраторов). Сейчас же столько времени не будет.
2. Времени не будет, поскольку уже есть исходные коды эксплойтов (программа, эксплуатирующая уязвимость) в открытом доступе (во время WannaCry подобные наборы продавались на хакерских сайтах, сейчас же они доступны любому школьнику): 1, 2.
3. По-сравнению с рабочими станциями (не обновленными вовремя во время прошлых эпидемий) сервера обновляются на порядок реже (работают круглосуточно с огромным uptime, на них крутится различное, в т.ч. устаревшее ПО).
4. Эксплутация уязвимости предполагает самый жесткий сценарий — удаленное выполнение произвольного кода. Не перезагрузка или крах сервера, а именно его полный захват.
5. Под угрозой сервера с включенным DNS-сервером, а в 99% случаях в локальных сетях эта роль совмещается с ролью контроллера домена Activre Directory. По-простому, злоумышленники получат доступ к БД и средствам аутентификации всех пользователей организации. После этого тривиально можно «захватить» в свой ботнет уже и рабочие станции (там не нужно уязвимостей, т.к. у хакеров уже будет права администратора домена).
6. Экслуатация уязвимости возможна даже для серверов не подключенных к Интернету. Достаточно, чтобы пользователь зашел на контролируемый злоумышленником сайт, либо ему показался баннер ведущий на специально созданный домен и т.п. — DNS-сервер при попытке резолвинга этого домена получит смертельный «ответ».
7. Лето — время отпусков, ИТ и ИБ отделы часто отдыхают и не проводят плановых мероприятий (обновлений).
8. На дворе 2020 год, до прилета инопланетян еще далеко, но компьютерная эпидемия — вполне в духе времени (тем более что уязвимость может использовать спецслужбами государств для экономической войны, США-Китай, Республиканцы-Демократы и т.д.).
9. Чем более «энтерпрайзное» предприятие, работающее в реальной экономике — большие заводы, инфраструктурные предприятия, АЭС — тем более старое ПО они используются (для Windows 2003 нет патча безопасности, а уязвимость скорее всего присутствует, а оно как раз используется в «кровавом энтерпрайзе» до сих пор).
Чем это грозит?
WannaCry в 2017-ом году привел к массовым заражениям компьютеров, потери информации и простоям предприятий и организаций. Но цифровизация за 3 года значительно усилилась, а характер уязвимости гораздо опаснее.
Поэтому сейчас возможны более тяжелые последствия, в том числе под угрозой банковская система (не смотря на более высокий, чем в среднем, уровень информационной безопасности в банках). А массовая «удаленка» приведет к полной остановке производств в случае поражения их локальных серверов заразой.
Гадать о последствиях конечно сложно, но кто год назад мог подумать о том, что для выхода из дома нужен будет пропуск.
Возможно в России для «защиты» от эпидемии задействуют механизмы «Суверенного Интернета», и мы станем не только не выездными, но и получим чебурнет, вместо все еще относительно свободного интернета.
Как защититься?
Поручите вашим ИТ-специалистам и администраторам поставить обновления на все сервера. Агентство по кибербезопасности и безопасности инфраструктуры Министерства внутренней безопасности (DHS CISA) США, например, приказало всем гос. структурам страны сделать это в течении 24 часов.
Но «вакцина» не является панацеей. В эпоху массовых уязвимостей в RPC, патчи выходили каждую неделю и все равно не могли остановить злоумышленников.
Наши специалисты написали ряд советов, которые помогут защититься от любой уязвимости DNS-сервера путем изменения сетевых настроек и создания эшелонированной обороны (включая современное NGFW-решение, наподобие того, которое создаем мы — Ideco UTM).
Рекомендую прислушаться к ним. 2020 год, ну уже хватит!