Čerstvá výměna zranitelností

V Microsoft Exchange byla objevena zranitelnost. Spočívající ve špatném zpracování kryptografických klíčů a jejích generování. Lokální servery publikované do internetu se tak ocitají v nebezpečí.

Útočník disponující přístupem k ověřenému účtu a webovému přístupu k Outlook Web App (OWA) může spustit jakýkoli proces s oprávněním SYSTEM.

Již dnes se objevují první pokusy o skenování veřejně přístupných serverů, kde již útočníkovi stačí získat heslo některého z uživatelů. A tak kompromitovat nejen něj, ale celý Exchange Server. A z něj už cestičky v lokálním prostředí dále jistě budou.

Co tedy s tím? Aktualizovat nebo přejít do Exchange Online. A ideálně nasadit druhý faktor k ověřování uživatelů.

Druhá z možností migrace asi nebude pro každého, ačkoliv se nabízí. První bude nabízet otázku, zda je bezpečné instalovat aktualizace hned po jejich vydání a nečekat na další revizi. Inu toto již musíte zvážit sami.

Informace o této zranitelnosti a opravách totiž najdete jako vždy v MSRC, které ne každý čte, navštěvuje.

Není to první a bohužel ani poslední ze zranitelností, které potkáme. Proč o ní tedy píšeme? Protože většina správců bohužel ignoruje nejen fakt, že je potřeba aktualizovat, ale mít též nastaven proces na sledování a vyhodnocování podobných bezpečnostních událostí. Minimálně do chvíle, kdy z jejich prostředí unikají data do cizích zemí a píše se o tom v denním tisku, či ransomware vytěžuje frontu disků v datovém centru více než záloha databáze.

Relativně nedávno jsme zde psali o změnách v Kerberos protokolu, které Microsoft odložil o další měsíce pro nepřipravenost IT oddělení firem na tuto změnu. A buďme upřímní, především aplikační nepřipravenost produktů třetích stran. Stejně tak fungování Google Chrome a ještě dříve o zranitelnostech procesorové architektury. A v obou případech je až neuvěřitelné, že i takto staré zranitelnosti zůstávají neodstraněny.

Útočník v průměru až 200 dní dokáže přežít v prostředí nepozorován. Kdy má čas ze společnosti vynést všechna potřebná data, nebo připravit jejich likvidaci. Až 99,9 procent útoků dokáže eliminovat nasazení MFA. Až 35 % útoků dnes pokrývá protokoly, které MFA nepodporují a i jejich blokací eliminujete nejjednodušší cestu skriptovaného útoku. Až tři roky jsou staré zranitelnosti, které útočníci zneužili v případě posledních velkých útoků na největší světové společnosti.

Není cílem, abyste se báli podobně jako u aktuální lidské virové nákazy. Ale pracovali na odolnosti, proočkování a údržbě aspoň stejně dobře.