SolarSecurity May 15 2019 at 00:58

В ОС Windows обнаружена критическая RCE-уязвимость уровня EternalBlue

2 min

61K

Солар corporate blogInformation Security*

+43

Comments 30

Protos May 15 2019 at 04:12

Прав простого пользователя или гостя достаточно?

acyp May 15 2019 at 05:45

Судя по описанию аутентификация не требуется, атака происходит на стадии рукопожатия. Успокаивает, что все системы устаревшие (у меня таких уже давно нету)

shane54 May 15 2019 at 06:45

В том то и дело что WS2008R2 ещё ой как много где используется (сужу по своему парку)

acyp May 15 2019 at 06:49

Каждый судит о мире по себе. Но и 2008 не беда. Как я понимаю инфа об уязвимости из внутреннего оборота м-компании пришла, а значит и заплатки готовы.

lockedpid May 15 2019 at 08:00

Уже вторая заплатка для ХР после окончания поддержки. Майкрософт — молодец.

LoadRunner May 15 2019 at 09:13

Мало ли, может у них самих кто-то где-то использует ХР и не желает ставить другую ось. Ну и патчи уязвимостей делает под неё, а потом делится.

lockedpid May 15 2019 at 10:07

У них самих вряд-ли, а вот какой-нибудь клиент с расширенной, в рамках отдельного договора, поддержкой думаю есть — например какой-нибудь банк с большим парком банкоматов.

Dima_Sharihin May 15 2019 at 09:38

О, а мне прислали на почту "у вас открыт RDP-порт на сервере, это опасно, спрячьте его за VPN"
VPS, между тем, вообще на убунте крутился, но теперь понятно почему вообще предупреждали

Revertis May 15 2019 at 10:22

Это хостер прислал или кто?

Dima_Sharihin May 15 2019 at 10:25

Ну, письмо получил я от хостера, да

ZUZ May 15 2019 at 11:33

А у меня другая запара случилась с Йотой: при попытке скачать обновы телефоном оператор блочит инет типа якобы я его раздаю.
После животрепещущец переписки с саппортом они так на прямую и сказали: блокировка "не харатктерного трафика для мобильного телефона сработала корректно". Хотя сначала морозились, что мол это я раздаю на комп с виндой инет. Ну хоть восстановили, редиски.

inoyakaigor May 15 2019 at 13:19

Именно так они и определяют, что пользователь раздаёт интернет и именно поэтому инструкции со сменой TTL давно уже не работают

ZUZ May 16 2019 at 23:37

Возрадуйтесь, походу исправили (надеюсь это не только у менч теперь можно качать обновы):
15-05 22:01
Уважаемый клиент! Для решения заявки 31015915 нам потребуется дополнительное время, до 5 дней. Приносим извинения за неудобства. Ваша Yota.
16-05 14:49
Уважаемый клиент!
Работы по заявке завершены.
Произведены настройки на сети, проблема с некорректным отображением режима модема устранена.
Приносим извинения за доставленные неудобства.
Ваша Yota.

Проверил: обновы скачались без происшествий.

nitro80 May 19 2019 at 06:46

Я на телефоне запускаю VPN, тогда не палят, ну и на самом компьютере тоже, до кучи

LESHIY_ODESSA May 15 2019 at 13:13

Прямая ссылка на скачку патча для — Windows Server 2008 R2 for x64-based Systems Service Pack 1
Для Windows 7 for x64-based Systems Service Pack 1 даёт скачать тот же файл.

ZUZ May 15 2019 at 18:00

И?
В чём проблема?

UFO just landed and posted this here

LESHIY_ODESSA May 15 2019 at 22:24

Я в курсе, это для тех кто не знает.

agalakhov May 15 2019 at 13:22

Интересно, реально ли уязвимость отсутствует в более новых версиях, или же она просто замаскирована и эксплуатируется иначе.

Fostrall May 15 2019 at 13:22

Уязвимость серьёзная, но уровнем EternalBlue не пахнет:
1. Неизвестно сколько из этих 2,3кк торчащих в инет узлов защищены NLA.
2. В отличие от SMB, RDP по-умолчанию выключен в системе.

SolarSecurity May 15 2019 at 14:56

1. Да, вы правы, но из нашей практики крайне редко публикация административных портов в интернет гармонизируется с политиками информационной безопасности. Также стоит учитывать, что при публикации сервисов администраторы часто перевешивают их на нестандартные порты, поэтому скриншот показывает ещё и неполную картину.

2. В корпоративной среде, которая может стать наиболее вероятным источником атаки, RDP включается почти везде.

Aleshkov May 15 2019 at 14:57

1. А что если эксплойт прикрутят к шифровальщику и запустят внутрь сети? Wannacry тоже зачастую не пробивался снаружи в корп сеть. Достаточно одного сотрудника с письмом «счастья».
2. «RDP по-умолчанию выключен в системе» — разве? Насколько я знаю, то совсем наоборот. Если речь о том, что доступ разрешен только админам, то для этой уязвимости это не важно, главное, что служба работает/порт доступен.

UFO just landed and posted this here

Aleshkov May 15 2019 at 16:25

«Не разрешать удаленные подключения к этому компьютеру» не значит, что служба выключена и порт закрыт. Значит система уязвима. Согласно рекомендации MS должна быть выключена служба:
1. Disable Remote Desktop Services if they are not required.
If you no longer need these services on your system, consider disabling them as a security best practice. Disabling unused and unneeded services helps reduce your exposure to security vulnerabilities.

Taciturn May 15 2019 at 17:18

По умолчанию порт закрыт, специально сейчас проверил в виртуалке в голой W7.

Fostrall May 15 2019 at 17:48

Короче, я уж думал чего-то не понимаю. Поэтому заморочился и поставил чистую win7, вот результаты:

ibb.co/xFzgwnW
ibb.co/KFbY04D

Как я и говорил, RDP по-умолчанию выключен.

Aleshkov May 16 2019 at 10:51

windows 7 — может, а на серверах rdp тоже по умолчанию у вас закрыт?

Fostrall May 16 2019 at 10:59

С сайта майков:

By default, Remote Desktop for Administration is installed when Windows Server 2003 is installed. However, Remote Desktop for Administration is disabled for security reasons.

Aleshkov May 16 2019 at 13:20

Ребят, ну серьезно, причем тут настройка по умолчанию и продуктивная среда с сотнями-тысячями серверов… тут GPO рулит. А RDP — основной протокол удаленного управления виндой.

legolegs May 15 2019 at 13:46

блочит инет типа якобы я его раздаю.

За такие тарифы предусмотрен отдельный котёл в аду, без права раздачи кипящей серы другим грешникам.