So 14 bezpečnostnými aktualizáciami, ktoré zahŕňajú opravy 33 samostatne identifikovaných bezpečnostných dier, 14 nových nezabezpečených opráv, dvoma zmenami v inštaláciách starších bezpečnostných opráv a tromi zmenami v prípade starších nezabezpečených aktualizácií, novembrový Čierny utorok klesá ako jeden z najťažších v histórii. Samotné opravy sú však iba časťou príbehu.
Tento mesiac sa záplaty Čierneho utorka začínali nepárnym - hoci nádejným - znamením. Spoločnosť Microsoft dobrovoľne stiahla dva bulletiny zabezpečenia (s neznámym počtom súvisiacich opráv) pred ich vydaním. MS14-068 aj MS14-075 sú v oficiálnom súhrne Bulletinu zabezpečenia uvedené ako „Je potrebné určiť dátum vydania“. Toto označenie som nikdy predtým nevidel. Microsoft pravdepodobne chytil chyby do opráv a na poslednú chvíľu ich vytiahol. Ak je to tak, je to veľmi pozitívny vývoj.
Vidím sporadické správy o KB 3003743 - súčasť MS14-074 - porušujúce súbežné relácie RDP. Poster turducken na fórach My Digital Life to pripája:
Dnešné aktualizácie zahŕňajú KB3003743 a spolu s nimi aj termínyrvrv.dll verzie 6.1.7601.18637
Jason Hart tiež tweetoval, že KB 3003743 zabije virtualizačný softvér NComputing.
To znie ako reminiscencia na problémy, ktoré minulý mesiac spôsobila KB 2984972, ktorá na niektorých počítačoch tiež zahalila súbežné relácie RDP. Ľahkým riešením minulý mesiac bolo odinštalovanie opravy a program RDP začal opäť fungovať. Spoločnosť Microsoft má v článku KB 2984972 oveľa zložitejšie riešenie. Momentálne nič nenasvedčuje tomu, či manuálne riešenie funguje s KB 3003743. Tiež som nepočul, či sú ovplyvnené nejaké balíčky App-V - ďalší znak zlej opravy KB 2984872 minulý mesiac.
Ak používate IE11 a EMET, je dôležité prejsť na najnovšiu verziu EMET 5.1 a až potom nainštalovať tento mesiac opravu MS14-065 / KB 3003057. Blog TechNet to vyjadruje takto:
Ak používate Internet Explorer 11, a to buď v systéme Windows 7, alebo Windows 8.1, a nasadili ste EMET 5.0, je obzvlášť dôležité nainštalovať EMET 5.1, pretože pri novembrovej aktualizácii zabezpečenia Internet Explorera a zmiernení EAF + boli zistené problémy s kompatibilitou. Áno, EMET 5.1 bol práve vydaný v pondelok.
V tlači panujú určité obavy, že novo opravená chyba „schannel“ môže byť rovnako všadeprítomná a využiteľná ako neslávne známa diera OpenSSL Heartbleed objavená začiatkom tohto roka.
Niet pochýb o tom, že by ste mali nainštalovať MS14-066 / KB 2992611 na akékoľvek zariadenie so systémom Windows, na ktorom je spustený webový server, server FTP alebo e-mailový server - skôr než neskôr. Potrebujete však v tejto chvíli všetko zahodiť a opraviť svoje servery? Názory sa rôznia.
Centrum SANS Internet Storm, ktoré zvyčajne zaujíma veľmi proaktívne opravné stanovisko, zaisťuje svoje stávky práve týmto. SANS má MS14-066 uvedený ako „Kritický“ namiesto závažnejšieho „Patch Now“. Dr. Johannes Ullrich ďalej hovorí:
Odhadujem, že na opravu svojich systémov máte pravdepodobne týždeň, možno menej, než vyjde exploit. Máte dobrý inventár svojich systémov? Potom ste v dobrej kondícii, aby ste to zvládli. Pre zvyšok (veľká väčšina?): Počas vykonávania opravy tiež zistite protiopatrenia a alternatívne núdzové konfigurácie.
Najpravdepodobnejším cieľom sú služby SSL, ktoré sú dostupné zvonka: Webové a poštové servery by boli na vrchu môjho zoznamu. Nemôže však ublížiť, keď skontrolujete správu z posledného externého skenovania vašej infraštruktúry, či máte ešte niečo. Pravdepodobne je dobré opakovať toto skenovanie, ak ste ho nenaplánovali pravidelne.
Ďalej prejdite na interné servery. Je o niečo ťažšie ich získať, ale nezabudnite, že na ich odhalenie potrebujete iba jednu interne infikovanú pracovnú stanicu.
Po tretie: Cestovanie po notebookoch a podobne, ktoré opúšťajú váš obvod. Mali by už byť uzamknuté a je nepravdepodobné, že budú počúvať prichádzajúce spojenia SSL, ale nemôžu ublížiť pri dôkladnej kontrole. Nejaké nepárne SSL VPN? Možno nejaký softvér pre okamžité správy? Rýchle skenovanie portov by vám malo povedať viac.
Okolo Schannel sa už formuje hromada mestskej mytológie. V tlači sa môžete dočítať, že schannelova bezpečnostná diera existuje už 19 rokov. Nie je to pravda - chyba schannel je identifikovaná ako CVE-2014-6321 a bola objavená neidentifikovanými výskumníkmi (pravdepodobne internou spoločnosťou Microsoft). Je to diera v softvéri pre pripojenie HTTPS.
19-ročnou chybou zabezpečenia, ktorú objavil výskumný tím IBM X-Force, je CVE-2014-6332. Je to diera v COM, ktorú je možné využiť prostredníctvom VBScript. To je chyba opravená MS14-064 / KB 3011443. Ako najlepšie viem, tieto dve chyby zabezpečenia nemajú nič spoločné.
Nenechajte sa zmiasť. BBC zmiešala tieto dve bezpečnostné diery a správu prahnú aj ďalšie spravodajské kanály.
Čo sa týka náhleho zmiznutia mesačného bezpečnostného webového vysielania - zatiaľ neprišlo žiadne oficiálne oznámenie, ale Dustin Childs, ktorý tieto webové vysielania spúšťal, bol znovu pridelený a pre novembrové bezpečnostné bulletiny som nemohol nájsť webové vysielanie. Začiatkom rána Childs tweetoval:
14 bulletinov namiesto 16-tie sa vôbec neprečíslovali. Žiadna priorita nasadenia. Žiadne prehľadové video. Žiadne webové vysielanie. Asi sa veci menia.
Je to ohromujúci vývoj, najmä pre každého, kto musí rozumieť opravným schopnostiam spoločnosti Microsoft. Ak prečíslovanie bulletinov neprekoná nikoho vieru v režim opráv spoločnosti Microsoft, beriem to ako vítanú zmenu. Ale nedostatok mesačného zoznamu priorít nasadenia bulletinu zabezpečenia, prehľadného videa alebo webového vysielania necháva väčšinu bezpečnostných profesionálov Windows v štichu. Microsoft vydáva pre Čierny utorok už roky prehľadové video a webové vysielanie ponúka veľa nepekných rád, ktoré nikde inde nie sú k dispozícii.
Ak boli webové vysielania stiahnuté - nevidím nijaké oficiálne potvrdenie - najmä podnikoví zákazníci spoločnosti Microsoft majú dobrý dôvod na sťažnosť.
