Комментарии 3
Эксплуатация следующей уязвимости была зафиксирована в реальных атаках:
…
CVE-2021-42321 – Microsoft Exchange Server Remote Code Execution Vulnerability
Однако остается только догадываться, по какому протоколу возможна атака: судя по косвенным признакам, это OWA/ECP, но в явном виде этой информации нет. А это существенно: OWA может быть и закрыт, но вот SMTP уже закрыть сложнее — почта ходить должна.
Перед производителем, выпускающем обновление безопасности, стоит сложная задача - сообщить максимум полезной информации своим клиентам (защитникам), в то же время сообщим минимум полезной информации киберпреступникам (атакующим). Именно поэтому в статьях CVE далеко не всегда можно найти полный разбор закрытой уязвимости. Не зря сразу за Вторником обновлений идёт Среда эксплоитов :)
В данном случае, для полноценной защиты рекомендуется не отключать сервисы и протоколы, а установить соответствующее обновление безопасности.
Перед производителем, выпускающем обновление безопасности, стоит сложная задача — сообщить максимум полезной информации своим клиентам (защитникам), в то же время сообщим минимум полезной информации киберпреступникам (атакующим).
Публикуя исправление, MS уже сообщает информацию атакующим, по крайней мере — ту, о которой я говорил: по составу измененных модулей легко выявить канал возможной атаки.
В данном случае, для полноценной защиты рекомендуется не отключать сервисы и протоколы, а установить соответствующее обновление безопасности.
Решение о защите (в том числе и о временых мерах вместо полноценной защиты) принимает все-таки не MS, а IT-специалисты предприятия, с учетом специфики своей IT-среды и бизнес-процессов. Так что эта информация могла бы быть им полезна (мне — была бы). Ну, и приоритеты у IT-службы предприятия и MS могут быть разные. Как в данном случае MS важнее пертащить пользователей Exchange в облако — например, через гибрид, а IT-службе важнее обеспичивать работу бизнес-процессов. И, в данном примере, если бизнес-процессы активно OWA не используют, то блокировка внешнего доступа к OWA может быть для предприятия адекватной смякчающей мерой — в отличие от MS, которым такая блокировка ломает гибридную конфигурацию, усиленно навязываемую пользователям.
А «установить соответствующее обновление безопасности» на практике в условиях предприятия можно не всегда оперативно — особенно, с учетом, что некоторые обновления внезавпно оказываются «ломающими» (в частности — это обновление Exchange для некоторых конфигураций), а потому обновления следует проверять в тестовой среде.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Patch Tuesday: Microsoft выпустила ноябрьские обновления безопасности