13.10.2018 08:39
Scif_yar 17 1600 Источник
Не секрет, что многие граждане считают, что обновления ключевых систем — зло, работает — не трогай.

Некоторые доходят в стремлении сохранить все как было до очень высокого уровня старины — контроллеры домена с сервером 2003 и соответствующим уровнем домена и леса, Exchange 2010 без SP, антивирусы прошлого поколения, вместо Next Generation (из известных на слуху TRAPS), плоские сети, SMB 1, список можно продолжать долго.

Все вышесказанное усугублялось отвратительной организацией…
20 лет Первой чеченской войне: часть II. Morituri: идущие на смерть

В мае 2017 года многие за такой подход здорово поплатились, на момент начала работы WannaCry всего два продукта предотвращали распространение вируса, и оба они не KAV с настройками по умолчанию. Интересно, назовет ли кто-то в комментариях эти продукты?

Несколько дней назад Microsoft опубликовала CVE-2018-8265 | Microsoft Exchange Remote Code Execution Vulnerability, а на ведущем сайте по экспертизе в космонавтике, импортозамещению и вставке таблиц* почему-то молчат, нет даже статистики сравнения, что в (подставить продукт) такого никогда не было и не может быть.

Описание уязвимости простое —
A remote code execution vulnerability exists in the way Microsoft Exchange software parses specially crafted email messages. An attacker who successfully exploited the vulnerability could run arbitrary code in the context of the system user. An attacker could then install programs; view, change, add, or delete data.

To exploit this vulnerability, an attacker would need to send a specially crafted email to an affected Exchange server, and then convince the recipient to perform multiple actions while replying to the message.

The security update addresses the vulnerability by correcting how Microsoft Exchange parses specially crafted email messages.

Это уже не первый случай удаленного исполнения, например вот более ранний CVE-2018-8154 Remote Code Execution Vulnerability от мая 2018, но про него хотя бы писали в статье .

Знающий люди подсказывают про существование вот такой записи, где драг.прер.еч. Синицин немного рассказывает про эти уязвимости, с 48 минуты.

А как у вас построена политика обновления и контроля?

* кстати, знатоки — а align=«right»- тоже не работает на ведущем сайте? Кнопочек форматирования текста вправо не завезли или я их не вижу?

Комментарии (17)


  1. imanushin
    13.10.2018 14:10
    #19230957
    +1

    Вы правильно говорите о безопасности, однако зачастую в компаниях есть простые правила:


    • Если человек что-то сделал и сломал, то он гарантированно виноват (ну т.е. накосячил)
    • Если же никто ничего не трогал и "оно сломалось само", то значит "да, бывает".
    • Если человек героически решил поломку, то он большой-большой молодец (чуть реже, так как юридически поломку должен был сделать все-таки кто-то другой)

    Если Вы замечали в компаниях подобные правила, то Вы не единственный.


    Однако из правил есть следствия:


    • Если всё сломалось, то виновен тот, кто менял последний, если не сможет доказать обратного. Например, если после обновления через неделю почта будет работать медленнее, то автоматом крайне окажется "обновляющий".
    • Если из трех систем что-то меняли только в одной, то все будущие совокупные проблемы автоматически вызваны этой самой обновленной (т.е. менеджеры, отвечающие за другие системы, будут отмазываться "я ничего не трогал").

    Эти следствия быстро учат людей правилу "работает — не трожь". Оно не про качество разработки, а про выживание в компании. Это правило получается путем накопления опыта (т.к. чем меньше работаешь — тем меньше косячишь).


    И возвращаемся к безопасности. Для случая, когда за взлом нет ответственности (т.е. никто не лишается крупной премии и т.д.), софт обновлять никто не будет ради защищенности.


  1. a0fs
    13.10.2018 15:20
    #19231157
    +1

    Все нижесказанное ИМХО!!!

    Из опыта косвенного знакомства с Exchange, иногда проще его закрыть со всех сторон чем-нибудь, чем обновлять. Оно и без обновление неплохо может подкинуть веселья в самый неподходящий момент. А держать несколько изолированных контуров Exchange и тестировать на кошках не у каждого есть силы и средства. Кроме того по интернету ходят слухи, что обновление Чанги — квест с очень высокой вероятностью необходимости откатить всё назад.

    Чтобы система была обновлябельна, её состояние должно превосходно чувствоваться до, во время и после обновления. Хочу видеть людей, кто может прочувствовать состояние Exchange даже в покое (на нормальной нагрузке) и пожать им руки.


    1. Scif_yar Автор
      13.10.2018 18:26
      #19231575

      Кроме того по интернету ходят слухи, что обновление Чанги — квест с очень высокой вероятностью необходимости откатить всё назад.

      Если читать документацию, то нормально все.

      Хочу видеть людей, кто может прочувствовать состояние Exchange даже в покое (на нормальной нагрузке) и пожать им руки.

      1. habr.com/post/412501
      2. www.atraining.ru
      3. Первый топ-5 интеграторов по MS
      4. Сборище пиццеедов на флаконе.


  1. surVrus
    13.10.2018 18:12
    #19231539
    +1

    драг.прер.еч. Синицин

    Прелестно! Хольм всегда радует…
    И да, я не пользуюсь продуктами Микрософт. 25 лет пользовался, а в этом году перестал.
    И четно говоря — счастлив.


    1. Scif_yar Автор
      13.10.2018 18:28
      #19231583

      Я любыми продуктами пользуюсь, мне вопросы споров «что лучше» уже очень далеки. Что лучше по совокупности или наличию нужных признаков, то и будет.
      Нет хороших универсальных инструментов, есть отдельно хорошие и отдельно достаточно универсальные


  1. paranoya_prod
    13.10.2018 23:12
    #19232319
    -1

    С SMB1 забавная вещь, если МС может выпустить заплатку или имея подписку software assurance от МС можно обновить сервер на свеженький с smb 2.1/3.1 за «небольшие деньги», то что делать с цветным лазерным МФУ A3 формата, которое уже не поддерживается производителем, стоит прилично и умеет складывать на сервер только по SMB1?
    Про сканирование в почту мы не говорим, так как сканированная документация на гос- и прочие торги весит не 10 МБ, не 20МБ, а все 50МБ, которые почтовый сервер не пропустит. Покупка нового МФУ — это существенные затраты, особенно при нынешнем курсе рубля.


    1. aim
      14.10.2018 01:11
      #19232523

      выкинуть. предварительно разъяснив руководству что всё имеет свой срок и этот срок надо заранее планировать. и на этот раз при покупке нового устройства такой срок обозначить.


      1. paranoya_prod
        15.10.2018 10:00
        #19236073

        То есть, вы предлагаете раз в год (утрирую) всё выкидывать? Ведь производитель может через пару лет перестать поддерживать своё оборудование, а косяк как раз вылезет через два года.
        Представьте себе — 2011 год, Вы покупаете дорогое МФУ запланировали его использовать пять лет. В 2014 году рубль валится, наступает 2016 год и Вы решаете, что делать с этим МФУ? Выкинуть (продать как б/у) и купить за выросшее в цене новое МФУ? Хотя старое Вас удовлетворяет по возможностям и деньги на закупку нового можно потратить с большей пользой для бизнеса. И при этом Вы владелец бизнеса, на что Вы потратите деньги?


        1. aim
          15.10.2018 12:43
          #19236899
          -1

          я предлагаю при закупках тщательно планировать SLA. производитель, если это не Лао-из-Подвала, имеет чёткий жизненный цикл продукта.

          Неплохо бы им интересоваться. SMB1 древнейшая технология. Ваш пример некорректен просто потому что в 2011 году уже был SMB2.2, а в 2012 SMB3. А вы купили устаревший уже тогда принтер. И вы теперь ругаетесь на производителя… Занятно.


        1. aim
          15.10.2018 12:45
          #19236907
          -1

          ну и конкретно этот пример решается print-server (а лучше самодельным сервером на основе rpi2/3, поскольку прошивки в большинстве дешёвых print-server довольно устаревшие) и подключением пользовательских машин уже к нему.


          1. paranoya_prod
            15.10.2018 14:47
            #19237421

            Зачем принт-сервер для функции сканирования документов в сетевую папку?


            1. aim
              16.10.2018 10:49
              #19240591

              сканировать через него туда куда надо.


    1. Scif_yar Автор
      14.10.2018 10:10
      #19233189

      стоит прилично и умеет складывать на сервер только по SMB1?

      Проблема в описанном случае — плоская сеть, а не SMB. Заводим сервер виртуалку в сегменте принтеров, настраиваем DFS репликацию на основной (если он есть), режем через FW все остальные связи.


      1. paranoya_prod
        15.10.2018 09:33
        #19235975

        Да, правильная ИТ-инфраструктура важна. Но «заводим сервер» — это дополнительные финансовые и не только расходы, а возможность поднять ещё один сервер есть не у всех.


    1. Scif_yar Автор
      14.10.2018 10:13
      #19233193

      а все 50МБ, которые почтовый сервер не пропустит

      Кто ему запрещает??
      Настроили как вам надо и все
      docs.microsoft.com/en-us/exchange/mail-flow/message-size-limits?view=exchserver-2019

      Вот «просто переслать» может не выйти конечно


  1. saipr
    14.10.2018 00:12
    #19232419
    +1

    граждане считают, что обновления ключевых систем — зло, работает — не трогай.

    И это верно. В начале 2000-х я ставил кое-какие программы в Московском офисе Ксерокс и с удивлением увидел на рабочих местах Win-3.11. Пояснения были замечательные: 90 % сотрудникам нужны таблицы, редактор, браузер. Win-3.11 они специально заказывали в Микрософт (к тому времени он уже не выпускался).
    У нас же обновление это индустрия, постоянный процесс — ставим, сертифицируем, переаттестовываем и т.д. и т.п.


  1. jok40
    14.10.2018 12:40
    #19233647

    В настоящее время вероятность опрокидывания системы от кривого обновления выше, нежели от направленной атаки извне. За примером даже далеко ходить не надо — недавнее обновление десятки до 1809. Кроме того никакое обновление не спасёт от эксплойта, использующего зиродей уязвимость — хоть заобновляйся.