Некоторые доходят в стремлении сохранить все как было до очень высокого уровня старины — контроллеры домена с сервером 2003 и соответствующим уровнем домена и леса, Exchange 2010 без SP, антивирусы прошлого поколения, вместо Next Generation (из известных на слуху TRAPS), плоские сети, SMB 1, список можно продолжать долго.
Все вышесказанное усугублялось отвратительной организацией…
20 лет Первой чеченской войне: часть II. Morituri: идущие на смерть
В мае 2017 года многие за такой подход здорово поплатились, на момент начала работы WannaCry всего два продукта предотвращали распространение вируса, и оба они не KAV с настройками по умолчанию. Интересно, назовет ли кто-то в комментариях эти продукты?
Несколько дней назад Microsoft опубликовала CVE-2018-8265 | Microsoft Exchange Remote Code Execution Vulnerability, а на ведущем сайте по экспертизе в космонавтике, импортозамещению и вставке таблиц* почему-то молчат, нет даже статистики сравнения, что в (подставить продукт) такого никогда не было и не может быть.
Описание уязвимости простое —
A remote code execution vulnerability exists in the way Microsoft Exchange software parses specially crafted email messages. An attacker who successfully exploited the vulnerability could run arbitrary code in the context of the system user. An attacker could then install programs; view, change, add, or delete data.
To exploit this vulnerability, an attacker would need to send a specially crafted email to an affected Exchange server, and then convince the recipient to perform multiple actions while replying to the message.
The security update addresses the vulnerability by correcting how Microsoft Exchange parses specially crafted email messages.
Это уже не первый случай удаленного исполнения, например вот более ранний CVE-2018-8154 Remote Code Execution Vulnerability от мая 2018, но про него хотя бы писали в статье .
Знающий люди подсказывают про существование вот такой записи, где драг.прер.еч. Синицин немного рассказывает про эти уязвимости, с 48 минуты.
А как у вас построена политика обновления и контроля?
* кстати, знатоки — а align=«right»- тоже не работает на ведущем сайте? Кнопочек форматирования текста вправо не завезли или я их не вижу?
Комментарии (17)
a0fs
13.10.2018 15:20+1Все нижесказанное ИМХО!!!
Из опыта косвенного знакомства с Exchange, иногда проще его закрыть со всех сторон чем-нибудь, чем обновлять. Оно и без обновление неплохо может подкинуть веселья в самый неподходящий момент. А держать несколько изолированных контуров Exchange и тестировать на кошках не у каждого есть силы и средства. Кроме того по интернету ходят слухи, что обновление Чанги — квест с очень высокой вероятностью необходимости откатить всё назад.
Чтобы система была обновлябельна, её состояние должно превосходно чувствоваться до, во время и после обновления. Хочу видеть людей, кто может прочувствовать состояние Exchange даже в покое (на нормальной нагрузке) и пожать им руки.Scif_yar Автор
13.10.2018 18:26Кроме того по интернету ходят слухи, что обновление Чанги — квест с очень высокой вероятностью необходимости откатить всё назад.
Если читать документацию, то нормально все.
Хочу видеть людей, кто может прочувствовать состояние Exchange даже в покое (на нормальной нагрузке) и пожать им руки.
1. habr.com/post/412501
2. www.atraining.ru
3. Первый топ-5 интеграторов по MS
4. Сборище пиццеедов на флаконе.
surVrus
13.10.2018 18:12+1драг.прер.еч. Синицин
Прелестно! Хольм всегда радует…
И да, я не пользуюсь продуктами Микрософт. 25 лет пользовался, а в этом году перестал.
И четно говоря — счастлив.Scif_yar Автор
13.10.2018 18:28Я любыми продуктами пользуюсь, мне вопросы споров «что лучше» уже очень далеки. Что лучше по совокупности или наличию нужных признаков, то и будет.
Нет хороших универсальных инструментов, есть отдельно хорошие и отдельно достаточно универсальные
paranoya_prod
13.10.2018 23:12-1С SMB1 забавная вещь, если МС может выпустить заплатку или имея подписку software assurance от МС можно обновить сервер на свеженький с smb 2.1/3.1 за «небольшие деньги», то что делать с цветным лазерным МФУ A3 формата, которое уже не поддерживается производителем, стоит прилично и умеет складывать на сервер только по SMB1?
Про сканирование в почту мы не говорим, так как сканированная документация на гос- и прочие торги весит не 10 МБ, не 20МБ, а все 50МБ, которые почтовый сервер не пропустит. Покупка нового МФУ — это существенные затраты, особенно при нынешнем курсе рубля.aim
14.10.2018 01:11выкинуть. предварительно разъяснив руководству что всё имеет свой срок и этот срок надо заранее планировать. и на этот раз при покупке нового устройства такой срок обозначить.
paranoya_prod
15.10.2018 10:00То есть, вы предлагаете раз в год (утрирую) всё выкидывать? Ведь производитель может через пару лет перестать поддерживать своё оборудование, а косяк как раз вылезет через два года.
Представьте себе — 2011 год, Вы покупаете дорогое МФУ запланировали его использовать пять лет. В 2014 году рубль валится, наступает 2016 год и Вы решаете, что делать с этим МФУ? Выкинуть (продать как б/у) и купить за выросшее в цене новое МФУ? Хотя старое Вас удовлетворяет по возможностям и деньги на закупку нового можно потратить с большей пользой для бизнеса. И при этом Вы владелец бизнеса, на что Вы потратите деньги?aim
15.10.2018 12:43-1я предлагаю при закупках тщательно планировать SLA. производитель, если это не Лао-из-Подвала, имеет чёткий жизненный цикл продукта.
Неплохо бы им интересоваться. SMB1 древнейшая технология. Ваш пример некорректен просто потому что в 2011 году уже был SMB2.2, а в 2012 SMB3. А вы купили устаревший уже тогда принтер. И вы теперь ругаетесь на производителя… Занятно.
aim
15.10.2018 12:45-1ну и конкретно этот пример решается print-server (а лучше самодельным сервером на основе rpi2/3, поскольку прошивки в большинстве дешёвых print-server довольно устаревшие) и подключением пользовательских машин уже к нему.
paranoya_prod
15.10.2018 14:47Зачем принт-сервер для функции сканирования документов в сетевую папку?
Scif_yar Автор
14.10.2018 10:10стоит прилично и умеет складывать на сервер только по SMB1?
Проблема в описанном случае — плоская сеть, а не SMB. Заводим сервер виртуалку в сегменте принтеров, настраиваем DFS репликацию на основной (если он есть), режем через FW все остальные связи.paranoya_prod
15.10.2018 09:33Да, правильная ИТ-инфраструктура важна. Но «заводим сервер» — это дополнительные финансовые и не только расходы, а возможность поднять ещё один сервер есть не у всех.
Scif_yar Автор
14.10.2018 10:13а все 50МБ, которые почтовый сервер не пропустит
Кто ему запрещает??
Настроили как вам надо и все
docs.microsoft.com/en-us/exchange/mail-flow/message-size-limits?view=exchserver-2019
Вот «просто переслать» может не выйти конечно
saipr
14.10.2018 00:12+1граждане считают, что обновления ключевых систем — зло, работает — не трогай.
И это верно. В начале 2000-х я ставил кое-какие программы в Московском офисе Ксерокс и с удивлением увидел на рабочих местах Win-3.11. Пояснения были замечательные: 90 % сотрудникам нужны таблицы, редактор, браузер. Win-3.11 они специально заказывали в Микрософт (к тому времени он уже не выпускался).
У нас же обновление это индустрия, постоянный процесс — ставим, сертифицируем, переаттестовываем и т.д. и т.п.
jok40
14.10.2018 12:40В настоящее время вероятность опрокидывания системы от кривого обновления выше, нежели от направленной атаки извне. За примером даже далеко ходить не надо — недавнее обновление десятки до 1809. Кроме того никакое обновление не спасёт от эксплойта, использующего зиродей уязвимость — хоть заобновляйся.
imanushin
Вы правильно говорите о безопасности, однако зачастую в компаниях есть простые правила:
Если Вы замечали в компаниях подобные правила, то Вы не единственный.
Однако из правил есть следствия:
Эти следствия быстро учат людей правилу "работает — не трожь". Оно не про качество разработки, а про выживание в компании. Это правило получается путем накопления опыта (т.к. чем меньше работаешь — тем меньше косячишь).
И возвращаемся к безопасности. Для случая, когда за взлом нет ответственности (т.е. никто не лишается крупной премии и т.д.), софт обновлять никто не будет ради защищенности.