BlueKeep-2 — теперь уязвимы все новые версии Windows

    Ещё не успела отшуметь уязвимость BlueKeep (CVE-2019-0708) для старых версий ОС Windows, нацеленная на реализацию протокола RDP, как снова пора ставить патчи. Теперь в зону поражения попали все новые версии Windows. Если оценивать потенциальную угрозу от эксплуатации уязвимостей путем прямой атаки из интернета по методу WannaCry, то она актуальна для нескольких сотен тысяч хостов в мире и нескольких десятков тысяч хостов в России.



    Подробности и рекомендации по защите под катом.

    Опубликованные RCE-уязвимости в Службах Удаленных рабочих столов RDS в ОС Windows (CVE-2019-1181/1182) при успешной эксплуатации позволяют злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное выполнение кода на атакуемой системе.

    Для эксплуатации уязвимостей злоумышленнику достаточно отправить специально сформированный запрос службе удаленных рабочих столов целевых систем, используя RDP (сам протокол RDP при этом не является уязвимым).

    Важно отметить, что любое вредоносное ПО, использующее эту уязвимость, потенциально может распространяться с одного уязвимого компьютера на другой аналогично распространению вредоносного ПО WannaCry по всему миру в 2017 году. Для успешной эксплуатации необходимо лишь иметь соответствующий сетевой доступ к хосту или серверу с уязвимой версией операционной системы Windows, в том числе, если системная служба опубликована на периметре.

    Версии ОС Windows, подверженные уязвимости:

    • Windows 10 for 32-bit/x64-based
    • Windows 10 Version 1607 for 32-bit/x64-based Systems
    • Windows 10 Version 1703 for 32-bit/x64-based Systems
    • Windows 10 Version 1709 for 32-bit/x64-based Systems
    • Windows 10 Version 1709 for ARM64-based Systems
    • Windows 10 Version 1803 for 32-bit/x64-based Systems
    • Windows 10 Version 1803 for ARM64-based Systems
    • Windows 10 Version 1809 for 32-bit/x64-based Systems
    • Windows 10 Version 1809 for ARM64-based Systems
    • Windows 10 Version 1903 for 32-bit/x64-based Systems
    • Windows 10 Version 1903 for ARM64-based Systems
    • Windows 7 for 32-bit/x64-based Systems Service Pack 1
    • Windows 8.1 for 32-bit/x64-based systems
    • Windows RT 8.1
    • Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
    • Windows Server 2008 R2 for x64-based Systems Service Pack 1
    • Windows Server 2012
    • Windows Server 2012 R2
    • Windows Server 2016
    • Windows Server 2019

    Рекомендуем:

    1. Установить необходимые обновления для уязвимых ОС Windows, начиная с узлов на периметре и далее для всей инфраструктуры, согласно принятым в компании процедурам управления уязвимостями:
      portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
      portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182
    2. При наличии опубликованного сервиса RDP на внешнем периметре для уязвимой ОС – рассмотреть ограничение (закрытие) доступа до устранения уязвимостей.

    На текущий момент нет информации о наличии PoC/эксплоита/эксплуатации данных уязвимостей, однако медлить с патчами не рекомендуем, часто их появление — вопрос нескольких суток.

    Возможные дополнительные компенсирующие меры:

    1. Включение проверки подлинности на уровне сети (NLA). Однако уязвимые системы по-прежнему останутся уязвимыми для удаленного выполнения кода (RCE), если у злоумышленника есть действительные учетные данные, которые можно использовать для успешной аутентификации.
    2. Временное выключение протокола RDP для уязвимых версий ОС до момента установки обновлений, использование альтернативных способов удаленного доступа к ресурсам.
    Ростелеком-Солар
    322,74
    Безопасность по имени Солнце
    Поделиться публикацией

    Комментарии 112

      –4
      Нельзя выставлять винду в напрямую в интернет
        +22
        Ничего нельзя выставлять напрямую в интернет.
          0
          А как надо выставлять — боком?
          Не ходи дети, в Африку гулять…

          Кто-нибудь может по русски пересказать вот это предложение:
          отправить специально сформированный запрос службе удаленных рабочих столов целевых систем, используя RDP (сам протокол RDP при этом не является уязвимым).

          Специальный запрос на RDP может его сломать, но при этом RDP неуязвим. Это как?
            +10
            Специальный запрос на RDP может его сломать, но при этом RDP неуязвим. Это как?

            Это означает, что проблема в конкретной реализации и она решаема, а не в самом протоколе (и можно тушить свет и паниковать). Например, проблема с WEP в WiFi была суровой — как ни делай реализацию, уязвим сам протокол. Потому его похоронили в пользу WPA.
              +1
              А как надо выставлять — боком?
              Для этого в Windows Server есть роль Remote Desktop Gateway.
                +1
                Вот кстати ни из статьи, ни из security advisory неясно, является ли уязвимым RDG.
                  0
                  RDG — небольшое .NET приложение, которое состоит из обработки своего протокола, реверс прокси и аутентификации с проверкой прав на установление сессии. Если последняя часть честно скопирована из RDS — то тоже уязвима.
                    0
                    RDG не уязвим для BlueKeep-2, так как использует HTTPS для соединения с удаленной сетью, у же далее использует RDP протокол, и RDP не физически не открыты для WAN.
                  0
                  Специальный запрос на RDP может его сломать, но при этом RDP неуязвим. Это как?
                  Недавно проходила информация, что при восстановлении оборванного сеанса RDP пускает даже неавторизованных пользователей. Может это имеется в виду?
                    –1
                    Почему неавторизованных-то) Вполне авторизованных. RDP-клиент держит пароль, и просто несколько раз пробует переподключиться после разрыва связи.
                      +1
                      Уязвимость якобы состояла в том, что клиент, ни разу не авторизовавшийся в RDP (просто инициировавший сессию), после обрыва и восстановления сессии оказывался авторизованным.
                        +2
                        Нет, вы ошиблись. Всё именно так, как я написал.
                          0
                          Да неужели? habr.com/ru/post/454928

                          • Пользователь подключается к системе Windows 10 или Server 2019 через RDS.
                          • Пользователь блокирует удаленный сеанс и оставляет клиентское устройство без присмотра.
                          • На этом этапе злоумышленник, имеющий доступ к клиентскому устройству, может прервать подключение к сети и получить доступ к удаленной системе без необходимости каких-либо учетных данных.
                            +2
                            Да, неужели. «Злоумышленник» на клиентском устройстве видит запущенный RDP-клиент, хранящий в себе пароль, и ждёт, когда тот переподключится после обрыва связи. Я вам даже больше скажу, RDP-клиент подключится к удалённому серверу без запроса учётных данных даже в том случае, если вы перезагрузите удалённый сервер. Просто потому, что клиент делает 20 попыток подключения с запомненным паролем.
                              +1
                              Сейчас у вас вообще будет разрыв шаблона: вы можете обнаружить точно такую же «уязвимость» в протоколе SSH, если настроите авторизацию по ключам, или в клиенте Bitvise SSH, если используете опцию сохранения паролей. Любой может подойти к вашему компу и подключиться к любому используемому вами серверу! Автор упомянутой вами статьи просто немного хайпанул на тему «ололо очередная уязвимость в винде», а все остальные даже не стали вчитываться.
                                0
                                Ну это рука-лицо. В статье говориться не о том, что «любой может подойти», а о конкретной уязвимости с авторизацией по сетевым параметрам без сохранения паролей и ключей где-бы то ни было (ссылка выше).
                                SSH работает не так и не имеет отношения к вышеописанному.
                                  +2
                                  Вы видимо не полностью читали статью, или просто не поняли, чем вызвано обсуждаемое в ней поведение. А вызвано оно именно тем, про что я написал. И никакой «конкретной уязвимости» там нет. Выключите групповой политикой автоматическое переподключение, и, о боже, «уязвимость» исчезнет.
                      +1
                      А как надо выставлять — боком?

                      На самом деле да — не зря же придумали VPN.

                      Правда, с публичными сервисами это не поможет, но RDP к таковым вряд-ли относится.
                        0
                        Какой-то был RDP на «белом» IP. Использовали, чтобы доказать клиенту провайдера, что с его стороны не блокируется RDP. оказалось, что админы клиента настроили «запретить с этого IP» вместо разрешения.
                        +1

                        Триггерит какой-нибудь валидный buffer overflow и пишет в память то, что хочет атакующий. С точки зрения RDP при этом прилетел пакет


                        "Hello Bob, it's Alice. It's Dangerous to go alone, take this: <#some data#>"
                          0
                          опенвпн+вайтлисты помогут отцу русского администрирования)
                          +1
                          У меня сервер на линуксе как стоял, так и стоит
                          Уже много миграций было и дистрибутивы менял
                          И само железо
                            +6
                            Как же тогда интернет работает, если к нему ничего напрямую подключать нельзя?
                              0
                              С уязвимостями типа этой проблема в том, что прилететь может и из ЛВС. RDP часто включён и открыт для всей локалки, а снаружи подключение через VPN, поэтому «безопасно».

                              Кто-нибудь ноут заражённый принесёт и привет.
                              0
                              Расскажите это облачным провайдерам, к примеру, Яндекс-облако, Амазон-облако…
                                0
                                В общем-то Амазону ничего рассказывать не надо. Они сами прекрасно рассказывают свою Shared Responsibility Model. TLDR: Если пользователь поднял инстанс, сделал его публично доступным и открыл всему миру (0.0.0.0), то пользователь сам принимает на себя всю полноту рисков и ответственности.
                                  0
                                  А с любым другим провайдером VPS/VDS разве не так?
                              –39
                              последнее что я цеплял лет 13 назад был sality.
                              Обновления всю дорогу отключаю всем и везде.
                              Обхожусь фаерволом. Для всего подозрительно с головой хватает virustotal'a.
                              При этом много качаю софт хлама с дарквебов и прочих кахер кидиес ресурсов.
                              Не знаю чё вы на домашних машинках плачетесь, ой систему распёрло.
                              Я прекрасно понимаю, что если стану чьей то мишенью и кто-та мною заинтересуется, то ничего не спасёт, от слова абсолютно. Кроме вовремя сделанных бекапов. Ладно там на серваке это жизненно необходимо. Кстати изредка об0с*ать на западные ресурсы спец служб захожу. И вижу как они через любые закрытые нульдейс потом лезут ко мне за логами в винду. Иногда хлам свой подгружают и винду через экран смерти ребутят. Это прям в наглую у них пошло спустя какое-то время после принятия закона об удалённом взломе всех во всём мире при подозрений. Я бы для них ханипоты делал чтобы изучать, вдруг чё полезное.
                              Помню как-то у одного местного уважаемого какера инфу надо было достать. Нашёл криптор приватный на испанском вроде, комету зарядил, собрал её в установочник какого-то софта и заслал казачка с флешкой на консультацию, якобы ч1 та не устанавливается и не работает. Дошло даже до поднятия митм прокси для аськи. Эх было интресное время.
                                +22
                                А потом Вы проснулись?
                                  –8
                                  А потом Вы проснулись?

                                  Обновления часто несут не меньшую опасность, чем сама уязвимость, вспомните про Yandex.Disk.
                                  Я с тех пор тоже обновления винды ставлю раз в год вручную, никакого доверия им нет, приходится гуглить что делает каждое конкретное обновление.
                                  И, конечно, полностью отказался от антивирусов, т.к. вреда от них больше.

                                  P.S. Сильно бесит в этом отношении Google Chrome своей агрессивной политикой установки обновлений, от Firefox тоже пришлось отказаться т.к. они убрали галку блокировки обновлений.
                                    +10
                                    Вы наверное против прививок, и еще и вегетарианец?
                                      +4
                                      Прививки вы ставите сам, по своей воле, никто вам их автоматически не поставит.
                                      Видимо Вы от обновления Yandex.Disk в 2013 году не пострадали..:)
                                      Проблема в том, что с обновлениями безопасности тулят все остальное мне не нужное: новый функционал (привет Nero), изменения интерфейса и прочее, добавляя при этом новые ошибки.
                                      Я не против обновлений, я против автоматических обновлений — только под моим контролем.

                                      Прививка это скорее аналогия брандмауэра, virustotal и элементарной компьютерной грамотности — здесь я двумя руками за.
                                        +6
                                        Пострадать не пострадал. Сделал откат изменений и продолжил жить дальше с +200 гигами в Я.Диске.

                                        Элементарная компьютерная грамотность говорит, что защита компьютера это комплекс мер, и попытка заменить какие то компоненты своей головой и руками всегда обречена на провал.

                                        Когда Вы закрываетесь от всего нового, от этого сужается Ваш кругозор, в итоге у Вас остается только Ваша точка зрения. Субъективная и оторванная от реальности. Не владея всей полнотой информации Вы не можете делать логически правильных выводов. А своя точка зрения не дает Вам понять, что Вы не правы. Вы в созданной Вами же ловушке невежества и некомпетентности. И уже докатились до того, что это очевидно окружающим.
                                          +4
                                          Это вы слишком глубокие выводы делаете…
                                          Я просто не доверяю разработчикам права без моего ведома устанавливать что бы то ни было на мой компьютер.
                                            0
                                            Сделал откат изменений


                                            Научите, сенсей, как делать откат rm -rf?
                                              +2
                                              Есть разные способы: btrfs и снапшоты, ntfs и теневые копии. Резервное копирование ежедневное, в конце концов.
                                                –1
                                                ntfs и теневые копии

                                                Как это спасет от
                                                rmdir /s /q C:\
                                                ?
                                                  +1
                                                  Установление в ntfs запрета на удаление папок?
                                                    –2
                                                    Yandex.Disk unistaller запускался от рута. И запрет тогда должен распространятся на все поддиректории.
                                                    +4
                                                    С теневой копией при удалении папки/файла ничего не происходит. Не страшен ей rmdir.
                                                      –4

                                                      Не так. Как это спасет от vssadmin delete shadows?

                                                        +2
                                                        Причем здесь delete shadow, если речь про деинсталлятор яндекс.диска, который сносил C:/?
                                                          0

                                                          А. Я думал, разговор про вирусы. Пардон.

                                                          +1
                                                          Если я такое найду в uninstaller-е, то поеду бить морду разработчику, правда, боюсь, прийдется в очередь вставать, т.к. не один такой окажусь.
                                                            0

                                                            Если в анинсталлере был rm -rf /, я бы тоже кому-то морду набил, да. Я бумал, разговор про защиту от вирусов через "откат".

                                                              0
                                                              «rm -rf ./» в анинсталлере я вполне ожидаю, производной от которого могут быть всякие опечатки вида «rm -rf /» и «rm -rf. /». А вот команды подобные «dd if=/dev/zero of=/dev/sda» и прочие на убийство ФС и его содержимого — нет.
                                                      0
                                                      (del)
                                                        +2
                                                        Насчет rm -rf не подскажу.
                                                        Насчет rmdir /s /q C:\ все просто:
                                                        1. Включаем «Защита системы» для нужных разделов в режиме (для Win7 коя была на том ПК в 2013 году) Восстановить параметры системы и предыдущие версии файла.
                                                        2. Выделяем места побольше, я обычно ставлю 30%
                                                        3. Тыкаем «Создать...» и задаем имя.
                                                        4. Запускаем cmd из под локального администратора с повышенными привилегиями.
                                                        5. Делаем ужасный rmdir /s /q C:\
                                                        6. Ждем. Ждем. Ждем окончания этого варварского процесса.
                                                        7. Перезагружаемся и видим факап с загрузкой системы.
                                                        8. Вставляем диск или флешку с любой 7+ виндой, желательно той же разрядности. Могли бы и не вставлять, если в Win7 образ WinRE лежал в загрузочном разделе, а не на диске С. В последующих версиях виндов все нормально, там сразу идем в консоль восстановления.
                                                        9. Запускаем консоль. Переходим на букву раздела (например D:) который был системным. Заходим в windows\system32 для х86, или windows\syswow64 для х64 систем
                                                        10. Запускаем vssadmin.exe list shadows и смотрим время нужной нам точки восстановления путь до нее
                                                        11. Делаем
                                                        mklink /d D:\VSS_Snapshot \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy100500\
                                                        12. В пункте 11 обращаю внимание, что путь должен заканчиваться на "\", а вместо 100500 нужная цифра
                                                        13. Запускаем робокопи из папки D:\VSS_Snapshot в корень диска D:, хотя я обычно делаю это из FAR Manager, запущенного тут же из снапшота теневой копии. Ждем окончания копирования, игнорируем ошибки.
                                                        14. Перезагружаемся и видим что винда стала рабочей.
                                                        15. Заходим в Защита системы/Восстановление…
                                                        16. Выбираем снова нужную точку и запускаем процесс восстановления уже из самой винды, это починит хардлинки, которые мы не восстановили при копировании в консоли.
                                                        17. Винда перезагружается и Вы получаете ту же систему что и до пункта 5.
                                                        18. делаем rmdir D:\VSS_Snapshot ибо оно больше не требуется.
                                                        18. Готово.

                                                        Все сделано средствами самой винды.

                                                        Сейчас я, конечно, таким не страдаю. Проще настроить Veeam Agent, с ним и проще и возможностей побольше.

                                                        В случае факапа с Яндекс.Диском у меня пострадала только папка винды. Винда грузилась, но её колбасило. Тут же восстановился и как ничего не произошло. Даже не понял из-за чего было.
                                                          0
                                                          Надо будет попробрвать.
                                                        +2
                                                        То есть по вашему, попытка заменить голову какими-то компонентами это намного лучше? Глупости. Я каждый день вижу, как люди с антивирусами становятся жертвами банального фишинга. Это не преувеличение и не выдумки — я действительно каждый день вижу, иногда по нескольку раз. А вот людей которые стали жертвами потому, что заменили антивирус на здравый смысл — пока что не встречал. Это конечно не значит что их нет, но как минимум их на несколько порядков меньше.
                                                        И да, пользователей, пострадавших от обновлений, я тоже видел немало. Хотя конечно это всё равно скорее исключение, чем правило.
                                                          0
                                                          То есть по вашему, попытка заменить голову какими-то компонентами это намного лучше?
                                                          Вроде бы не было предложения заменить голову на инструменты. Насколько я понимаю предыдущий комментатор предлагал совмещать, а не замещать.
                                                            –1
                                                            Не торопитесь. Прочитайте моё сообщение еще раз. Потом еще раз. Затем сделайте три глубоких вдоха с закрытыми глазами, и прочитайте еще раз. Сфокусируйтесь, читайте по слогам вторую половину второго абзаца — это должно устранить ошибку скорочтения, когда смысл меняется на обратный.

                                                            Что нибудь изменилось?
                                                              0
                                                              Не торопитесь. Прочитайте моё сообщение еще раз. Потом еще раз. Затем сделайте три глубоких вдоха с закрытыми глазами, и прочитайте еще раз. Сфокусируйтесь, читайте по слогам вторую половину второго абзаца — это должно устранить ошибку скорочтения, когда смысл меняется на обратный.

                                                              Что нибудь изменилось?
                                                              +1
                                                              Common Sense 2010 — отлично защищает от фишинга
                                                                0
                                                                Так он не устанавливается без Educated Brain 2000!
                                                                  0
                                                                  Увы, у его инсталлятора есть проблема с тем, что автоматически не подтягиваются Educated Brain 2000 и не ставится драйвер straight_hands.ko/straight_hands.sys
                                                                    0
                                                                    Так ведь straight_hands.ko/straight_hands.sys добавляются через какое-то время использования Educated Brain 2000, но его надо отдельно ставить, да.
                                                              –2
                                                              +200 гигами в Я.Диске.
                                                              кхм-кхм… нуха? (с Галустян) )))
                                                            +1
                                                            Да, мы против прививок когда ты болен и имеешь температуру под 39 градусов, чем и занимается мелкософт.
                                                            +2
                                                            Это традиция такая, ставить обновления 1 день в году?.. 1 апреля подходящее время для это праздника
                                                              0
                                                              Соберите лису себе сами, если так не нравятся автоматические обновления, в чём сложность?
                                                            –1
                                                            А потом Вы проснулись?

                                                            Да нет, сержант разбудил. И так уже три года...

                                                            +10
                                                            Потрясающая история. Есть еще?
                                                              +5
                                                              Забавно, пишите еще! Особенно про западные спецслужбы, которые к вам через «нульдейс лезут».
                                                                0
                                                                На этом месте становится понятно, что товарищ либо толсто троллит, либо пациент.
                                                                  +1
                                                                  Я подозреваю, что это пост Эрика Сноудена. Это объясняет и историю и знания русского языка.
                                                              +8
                                                              Временное выключение протокола RDP для уязвимых версий ОС
                                                              Это тоже самое что посоветовать выключить компьютеры и не работать.
                                                              Вот руководство обрадуется.
                                                                +1
                                                                Для ИТ и helpdesk действительно настанут черные дни, но на основные бизнес-процессы это все-таки не влияет. Но из практики wannacry — иногда лучше добавить другой способ управления или потерпеть, чем долго и мучительно восстановливать инфраструктуру после влетевшего шифровальщика массового поражения. Как раз в случае petya и wannacry бывало, что заказчики целиком отказывались от работы через SMB до устранения проблемы.
                                                                  0
                                                                  Несколько отделов использовали 1С на сервере через RDP. Обновы наверное отключены на многих компах, а кто-то в этих отделах точно сидел на XP.
                                                                  P.S. Правда потом сотрудница уволилась и комп перешел другому отделу.
                                                                    0
                                                                    но на основные бизнес-процессы это все-таки не влияет.
                                                                    Ну конечно. Никто не работает в терминале, только программируют и админят.
                                                                      0

                                                                      Не соглашусь. Можно РДП и закрыть. DameWare Mini Remote Control достаточен для удобного удаленного управления, естественно если между двумя компьютерами открыт соответствующий порт. Конечно это не отменяет наличия уязвимости в ПО, но всяко лучше чем РДП. К тому же в проге имеется возможность одновременного подключения нескольких людей где, тот кто подключился первым управляет, а остальные наблюдают. При самом первом подключении требуются админские права, чтобы приложение смогло установить свой агент на удаленный компьютер, а после при следующих подключениях админские права даже и не требуется — пользователю сидящему за удаленным компьютером выходит окошко с просьбой разрешения на то чтобы к нему подключились. А если нужно заходить без разрешения напролом то нужно заходить от имени администратора.

                                                                    0
                                                                    Свежий патч (кумулятивный под 300 МБ) на Семерку поставили вчера или тут уже никто не использует?
                                                                      0
                                                                      2019-08 включает.
                                                                      +1
                                                                      А что про XP?
                                                                        0
                                                                        Пожалуйста, закопайте стюардессу обратно.
                                                                          0
                                                                          Выпущена 18 лет назад, расширенная поддержка окончена больше пяти лет назад.
                                                                          Может хватит насиловать труп?
                                                                            0
                                                                            Да ладно, вроде даже и не пахнет ещё.
                                                                            А если серьёзно, то для печатной машинки/1C/хабра/мыла/аськи (да-да, ещё одна стюардесса с того же рейса!) вполне хватает на древнем железе.
                                                                              0
                                                                              Зачем использовать настолько древнее железо? Оно ведь даже экономически невыгодно, жрёт больше электроэнергии, больше греется.
                                                                                +3
                                                                                п4 или c2duo или что еще из той же серии на WinXP под клиента RDP самое то… больше жрёт? на 30 или 50 вт? это на сколько? на 60р в месяц? Огромные деньги, конечно, но как-нибудь переживём.
                                                                                0
                                                                                Скажем так, уже почти с год один из пользователей стюардессы заметил одну особенность — firefox не обновляется, chrome тоже.
                                                                                  –1
                                                                                  Наблюдательный пользователь. Обычный заметил бы только тогда, когда сайты начали бы ломаться.
                                                                                    +1
                                                                                    Хром своей плашкой «Ваша ОСь — старая лохань, новых версий себя я вам не поставлю» задолбает и обыкновенного.
                                                                                0
                                                                                Поддержка версии для банкоматов закончена вроде недавно.
                                                                                0
                                                                                На ХР можно было ставить обновления для POS Ready 2009 до середины апреля этого года, даже после этого через 2 недели МС выпустили патч против уязвимости RDP, но вышеназванная в теме уязвимость похоже уже останутся без внимания…

                                                                                ХР зря недооценивают, у меня на работе Линукс, дома Мак, в ХР работает на лёгкой виртуалке когда нужно быстренько запустить программку, которая под Вайном не будет работать.
                                                                                  0

                                                                                  Я так понял, что уязвимость отсюда относится к реализации RDPv8, а в хрюше ЕМНИП шестая. Поэтому и "нечего" фиксить.

                                                                                0
                                                                                Не я конечно понимаю что операционная система очень тяжелый продукт и отследить все этапы производства практически нереально, но может как-то можно отслеживать производство на ключевых этапах и на производстве ключевых блоков.
                                                                                  +2

                                                                                  Windows Update не способен посчитать сколько места понадобится чтобы накатить апдейты. А вы о каких-то там ключевых блоках… Тут срочно надо ещё больше настроек выпилить чтобы бедные хомячки не порезались (а заодно эникейщики ничего не смогли сделать).

                                                                                    –1
                                                                                    Windows: Для установки последних обновлений не достаточно места на жестком диске. Рекомендуется 20 ГБ свободного пространства для установки обновлений.
                                                                                    Пользователь: как же так только вчера было 50 ГБ?
                                                                                    Windows: Для установки последних обновлений не достаточно места на жестком диске.
                                                                                    Пользователь матерясь и сопя удаляет неиспользуемые программы, очищает корзину, журнал браузеров и картинки с котиками.
                                                                                    Windows: Ням-Ням-ням. Для установки последних обновлений не достаточно места на жестком диске.
                                                                                      0
                                                                                      Сразу отвести 80 ГБ под диск C:.
                                                                                      А по поводу «странностей объема». Скажем в Семерке создаешь «Точку восстановления». Объем занятого под точки (по версии свойств в «Защита системы») растет на меньшую величину, чем реально тратится места на диске.
                                                                                        0

                                                                                        Проблема в том, что эта дрянь жрёт больше чем все игрушки вместе взятые, ради которых я её держу.
                                                                                        Семёрка же скорее всего использует hardlinks, которые были сделаны через такое специальное место разработчиков, что в отличие от линукса ими могут пользоваться только Избранные, а считать занимаемый объём мало кто умеет. Проводник например не умеет.

                                                                                          0
                                                                                          которые были сделаны через такое специальное место разработчиков, что в отличие от линукса ими могут пользоваться только Избранные

                                                                                          Одна маленькая программа решает это недоразумение.
                                                                                          а считать занимаемый объём мало кто умеет

                                                                                          На самом деле никто и нигде не умеет.
                                                                                  0
                                                                                  Windows Server 2008, который без R2, в списке отсутствует за давностью лет или по причине отсутствия уязвимости? Предполагаю, что первое.
                                                                                    0
                                                                                    Также как в списке нет и XP
                                                                                    Так что да, скорее всего это связано что версии систем для которых закончилась поддержка перестают перечисляться в бюллетенях безопасности
                                                                                    Патчей то под них все равно уже не выпустят
                                                                                      0
                                                                                      Цитирую первый абзац:
                                                                                      Ещё не успела отшуметь уязвимость BlueKeep (CVE-2019-0708) для старых версий ОС Windows, нацеленная на реализацию протокола RDP, как снова пора ставить патчи. Теперь в зону поражения попали всё новые версии Windows.

                                                                                      Вот и непонятно, что с 2008 — то ли она стара и не подвержена уязвимости, тогда как R2 в списке есть, то ли на неё рукой махнули.
                                                                                      P.S.
                                                                                      А в особо тяжёлых случаях MS выпускает патчи и для старья типа XP/2003.
                                                                                        0
                                                                                        В текущей ситуации — уязвимы версии RDP с 8 и выше. 2008/Vista — это версия 7.какая-то.
                                                                                      0
                                                                                      Поддержка Server 2008 SP2 по сроку равна R2.
                                                                                        0
                                                                                        Windows XP, Windows Server 2003, and Windows Server 2008 are not affected, nor is the Remote Desktop Protocol (RDP) itself affected.
                                                                                        msrc-blog.microsoft.com/2019/08/13/patch-new-wormable-vulnerabilities-in-remote-desktop-services-cve-2019-1181-1182
                                                                                        0
                                                                                        Windows Server 2008 поддерживается до января 2020 года. Вероятно, она была исправлена с первой волной, и сейчас не уязвима.
                                                                                          0
                                                                                          На Windows Server 2008 R2 Sp1 отдельное обновление не поставилось — ошибка)
                                                                                          Самое забавное — августовское кумулятивное обновление с этим обновлением тоже не ставится с ошибкой.
                                                                                          Хотя 11 других обновлений, вышедших перед ним, поставились.

                                                                                          Хахаха, Мелкософт, ты наполняешь нашу жизнь адреналином. Это не какие-то предсказуемые иксы. :-)
                                                                                            0
                                                                                            только что (начитавшись ужасов) поставил на w7 кумулятивное обновление kb4612506 (то, что как бы лечит). В начале ругалось, что «приложение без подписи» и выбрасывало ошибку. Небольшое гугленье подсказало, что перед ним нужно поставить kb4474419 (добавляет SHA-2. причём из всего что предлагается, в начале нужно ставить только его — без остального «пакета». После рестарта можно уже что и как угодно. «Но это не точно»(с) — майкрсофт же).
                                                                                            И всё сразу установилось. Для сервера его вроде как тоже нужно ставить.
                                                                                            Ну а сли нет — гуглить по номеру ошибки

                                                                                            ЗЫ. Правда не знаю зачем мне это надо (обновлять) — семёрка-то чисто «про запас» и «как память» (а десятка — «потыкать палочкой»(с)). Так-то на линуксе как-то спокойнее в наше время.
                                                                                              0
                                                                                              чисто по номеру ошибки находит, но всё не то(ну например «ждите исправления этой ошибки в следующих обновлениях» либо сомнительные советы), а по номеру ошибки и номеру нужных этих новых обновлений пока еще ничего не находит)
                                                                                              kb4474419 уже стоит, августовское. правда оно как оказывается есть в нескольких вариантах: март, май,… август, вот по мартовскому в списке обновлений — Отказ.
                                                                                                0
                                                                                                Прикол в том, что должны стоять 2 обновления.
                                                                                                KB4474419
                                                                                                и
                                                                                                KB4490628
                                                                                                У меня первое было, пока не поставил второе, апдейты не накатывались.
                                                                                                  0
                                                                                                  большое спасибо — установка KB4490628 решила проблему с невозможностью поставить kb4512486 и kb4512506!

                                                                                                  а вот как, по мнению мелкософта, пользователь должен догадаться, что ему надо поставить KB4490628, мне не очень понятно)
                                                                                            0
                                                                                            При чем здесь ванакрай, smb по умолчанию включены винде, а вот RDP наоборот. Масштабы проблемы при утечке эксплойтов все равно несопоставимы потенциально, журнашлюги, блин
                                                                                              –4
                                                                                              В это время юзеры линукс и мак ос:image
                                                                                                +4
                                                                                                Окончательно забили на свой внешний вид и обросли шерстью, усами и когтями?
                                                                                                  0
                                                                                                  :)
                                                                                                  0

                                                                                                  Когда смотришь на статьи из MSKB, соответствующие выпущенным обновлениям, то в разделе «Known issues in this update» ничего не говорится о том, что данное обновление устраняет обнаруженную уязвимость Remote Desktop Services. Даже если читать аннотацию к отдельным обновлениям системы безопасности: . Странно, что о RDS там не упоминается.
                                                                                                    0

                                                                                                    Known issues это список ПРОБЛЕМ, которые появляются после того, как поставить данный апдейт, а не список того, что апдейт патчит. Но в принципе согласен, об RDP ни в одном из KB ни слова, и это напрягает.

                                                                                                    +1
                                                                                                    Важное замечание — по умолчанию Win7/2008R2 неуязвимы для BlueKeep-2, обновления KB4512486/KB4512506 даже не обновляют драйвер терминала, а в примечании к уязвимости написано:
                                                                                                    These operating systems are only affected by this vulnerability if either RDP 8.0 or RDP 8.1 is installed. If you do not have either of these versions of RDP installed on Windows 7 SP1 or Window Server 2008 R2 SP1, then you are not affected by this vulnerability.
                                                                                                    По умолчанию на этих системах работает RDP 7.1 (более того, на 2008R2 вообще невозможно включить RDP 8.0/8.1) и это не меняется даже после установки всех обновлений, переход серверной части на RDP 8.0 в Win7 нужно делать вручную через групповые политики. Поэтому те, кто самостоятельно не повышал версию RDP на клиентских системах в данном случае неуязвимы.

                                                                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                      Самое читаемое