Не пора ли обновиться?

    Не секрет, что многие граждане считают, что обновления ключевых систем — зло, работает — не трогай.

    Некоторые доходят в стремлении сохранить все как было до очень высокого уровня старины — контроллеры домена с сервером 2003 и соответствующим уровнем домена и леса, Exchange 2010 без SP, антивирусы прошлого поколения, вместо Next Generation (из известных на слуху TRAPS), плоские сети, SMB 1, список можно продолжать долго.

    Все вышесказанное усугублялось отвратительной организацией…
    20 лет Первой чеченской войне: часть II. Morituri: идущие на смерть

    В мае 2017 года многие за такой подход здорово поплатились, на момент начала работы WannaCry всего два продукта предотвращали распространение вируса, и оба они не KAV с настройками по умолчанию. Интересно, назовет ли кто-то в комментариях эти продукты?

    Несколько дней назад Microsoft опубликовала CVE-2018-8265 | Microsoft Exchange Remote Code Execution Vulnerability, а на ведущем сайте по экспертизе в космонавтике, импортозамещению и вставке таблиц* почему-то молчат, нет даже статистики сравнения, что в (подставить продукт) такого никогда не было и не может быть.

    Описание уязвимости простое —
    A remote code execution vulnerability exists in the way Microsoft Exchange software parses specially crafted email messages. An attacker who successfully exploited the vulnerability could run arbitrary code in the context of the system user. An attacker could then install programs; view, change, add, or delete data.

    To exploit this vulnerability, an attacker would need to send a specially crafted email to an affected Exchange server, and then convince the recipient to perform multiple actions while replying to the message.

    The security update addresses the vulnerability by correcting how Microsoft Exchange parses specially crafted email messages.

    Это уже не первый случай удаленного исполнения, например вот более ранний CVE-2018-8154 Remote Code Execution Vulnerability от мая 2018, но про него хотя бы писали в статье .

    Знающий люди подсказывают про существование вот такой записи, где драг.прер.еч. Синицин немного рассказывает про эти уязвимости, с 48 минуты.

    А как у вас построена политика обновления и контроля?

    * кстати, знатоки — а align=«right»- тоже не работает на ведущем сайте? Кнопочек форматирования текста вправо не завезли или я их не вижу?

    Only registered users can participate in poll. Log in, please.

    Политика обновления систем

    Share post

    Comments 22

      +7

      Вы правильно говорите о безопасности, однако зачастую в компаниях есть простые правила:


      • Если человек что-то сделал и сломал, то он гарантированно виноват (ну т.е. накосячил)
      • Если же никто ничего не трогал и "оно сломалось само", то значит "да, бывает".
      • Если человек героически решил поломку, то он большой-большой молодец (чуть реже, так как юридически поломку должен был сделать все-таки кто-то другой)

      Если Вы замечали в компаниях подобные правила, то Вы не единственный.


      Однако из правил есть следствия:


      • Если всё сломалось, то виновен тот, кто менял последний, если не сможет доказать обратного. Например, если после обновления через неделю почта будет работать медленнее, то автоматом крайне окажется "обновляющий".
      • Если из трех систем что-то меняли только в одной, то все будущие совокупные проблемы автоматически вызваны этой самой обновленной (т.е. менеджеры, отвечающие за другие системы, будут отмазываться "я ничего не трогал").

      Эти следствия быстро учат людей правилу "работает — не трожь". Оно не про качество разработки, а про выживание в компании. Это правило получается путем накопления опыта (т.к. чем меньше работаешь — тем меньше косячишь).


      И возвращаемся к безопасности. Для случая, когда за взлом нет ответственности (т.е. никто не лишается крупной премии и т.д.), софт обновлять никто не будет ради защищенности.

        +1
        Все нижесказанное ИМХО!!!

        Из опыта косвенного знакомства с Exchange, иногда проще его закрыть со всех сторон чем-нибудь, чем обновлять. Оно и без обновление неплохо может подкинуть веселья в самый неподходящий момент. А держать несколько изолированных контуров Exchange и тестировать на кошках не у каждого есть силы и средства. Кроме того по интернету ходят слухи, что обновление Чанги — квест с очень высокой вероятностью необходимости откатить всё назад.

        Чтобы система была обновлябельна, её состояние должно превосходно чувствоваться до, во время и после обновления. Хочу видеть людей, кто может прочувствовать состояние Exchange даже в покое (на нормальной нагрузке) и пожать им руки.
          0
          Кроме того по интернету ходят слухи, что обновление Чанги — квест с очень высокой вероятностью необходимости откатить всё назад.

          Если читать документацию, то нормально все.

          Хочу видеть людей, кто может прочувствовать состояние Exchange даже в покое (на нормальной нагрузке) и пожать им руки.

          1. habr.com/post/412501
          2. www.atraining.ru
          3. Первый топ-5 интеграторов по MS
          4. Сборище пиццеедов на флаконе.
            0
            Кроме того по интернету ходят слухи, что обновление Чанги — квест с очень высокой вероятностью необходимости откатить всё назад.

            Есть нюансы, но обычно они перечислены в KB, а остальное гуглится (всякие ошибки счётчиков и хардкоды путей к несуществующим файлам).

            Например, предыдущий патч надо было ставить через WU или запускать из консоли администратора, так как авторы не осилили UAC.
            0
            драг.прер.еч. Синицин

            Прелестно! Хольм всегда радует…
            И да, я не пользуюсь продуктами Микрософт. 25 лет пользовался, а в этом году перестал.
            И четно говоря — счастлив.
              0
              Я любыми продуктами пользуюсь, мне вопросы споров «что лучше» уже очень далеки. Что лучше по совокупности или наличию нужных признаков, то и будет.
              Нет хороших универсальных инструментов, есть отдельно хорошие и отдельно достаточно универсальные
              0
              С SMB1 забавная вещь, если МС может выпустить заплатку или имея подписку software assurance от МС можно обновить сервер на свеженький с smb 2.1/3.1 за «небольшие деньги», то что делать с цветным лазерным МФУ A3 формата, которое уже не поддерживается производителем, стоит прилично и умеет складывать на сервер только по SMB1?
              Про сканирование в почту мы не говорим, так как сканированная документация на гос- и прочие торги весит не 10 МБ, не 20МБ, а все 50МБ, которые почтовый сервер не пропустит. Покупка нового МФУ — это существенные затраты, особенно при нынешнем курсе рубля.
                –1
                выкинуть. предварительно разъяснив руководству что всё имеет свой срок и этот срок надо заранее планировать. и на этот раз при покупке нового устройства такой срок обозначить.
                  0
                  То есть, вы предлагаете раз в год (утрирую) всё выкидывать? Ведь производитель может через пару лет перестать поддерживать своё оборудование, а косяк как раз вылезет через два года.
                  Представьте себе — 2011 год, Вы покупаете дорогое МФУ запланировали его использовать пять лет. В 2014 году рубль валится, наступает 2016 год и Вы решаете, что делать с этим МФУ? Выкинуть (продать как б/у) и купить за выросшее в цене новое МФУ? Хотя старое Вас удовлетворяет по возможностям и деньги на закупку нового можно потратить с большей пользой для бизнеса. И при этом Вы владелец бизнеса, на что Вы потратите деньги?
                    –2
                    я предлагаю при закупках тщательно планировать SLA. производитель, если это не Лао-из-Подвала, имеет чёткий жизненный цикл продукта.

                    Неплохо бы им интересоваться. SMB1 древнейшая технология. Ваш пример некорректен просто потому что в 2011 году уже был SMB2.2, а в 2012 SMB3. А вы купили устаревший уже тогда принтер. И вы теперь ругаетесь на производителя… Занятно.
                      –2
                      ну и конкретно этот пример решается print-server (а лучше самодельным сервером на основе rpi2/3, поскольку прошивки в большинстве дешёвых print-server довольно устаревшие) и подключением пользовательских машин уже к нему.
                        +1
                        Зачем принт-сервер для функции сканирования документов в сетевую папку?
                          0
                          сканировать через него туда куда надо.
                    0
                    стоит прилично и умеет складывать на сервер только по SMB1?

                    Проблема в описанном случае — плоская сеть, а не SMB. Заводим сервер виртуалку в сегменте принтеров, настраиваем DFS репликацию на основной (если он есть), режем через FW все остальные связи.
                      0
                      Да, правильная ИТ-инфраструктура важна. Но «заводим сервер» — это дополнительные финансовые и не только расходы, а возможность поднять ещё один сервер есть не у всех.
                        0
                        возможность поднять ещё один сервер есть не у всех.

                        Еще одну виртуалку на 40 гиг?
                        лицензия — 0
                        40 гиг места — нуууу, сколько то.
                      0
                      а все 50МБ, которые почтовый сервер не пропустит

                      Кто ему запрещает??
                      Настроили как вам надо и все
                      docs.microsoft.com/en-us/exchange/mail-flow/message-size-limits?view=exchserver-2019

                      Вот «просто переслать» может не выйти конечно
                      +2
                      граждане считают, что обновления ключевых систем — зло, работает — не трогай.

                      И это верно. В начале 2000-х я ставил кое-какие программы в Московском офисе Ксерокс и с удивлением увидел на рабочих местах Win-3.11. Пояснения были замечательные: 90 % сотрудникам нужны таблицы, редактор, браузер. Win-3.11 они специально заказывали в Микрософт (к тому времени он уже не выпускался).
                      У нас же обновление это индустрия, постоянный процесс — ставим, сертифицируем, переаттестовываем и т.д. и т.п.

                        –1
                        В настоящее время вероятность опрокидывания системы от кривого обновления выше, нежели от направленной атаки извне. За примером даже далеко ходить не надо — недавнее обновление десятки до 1809. Кроме того никакое обновление не спасёт от эксплойта, использующего зиродей уязвимость — хоть заобновляйся.
                          0
                          Процесс обновления начинается с чтения документации по процедуре обновления. И он всегда включает в себя шаг «Сделать резервную копию всего». Упомянутая проблема затронула 0.001% пользователей или еще меньше. Зачем из этого делать какие-то глобальные выводы, я не понимаю. Во все времена что-нибудь шло не так. Даже АК-47 отказывает в некоторых редких случаях.
                            +1
                            Возможно вы не в курсе, но обновление множества версий Windows 10 начинается не с чтения документации, а с внезапной перезагрузки. И доступного, из обычного интерфейса, способа изменить это нет.
                            0
                            Кроме того никакое обновление не спасёт от эксплойта, использующего зиродей уязвимость

                            Правильно. нужен NGFW

                          Only users with full accounts can post comments. Log in, please.