Критическая уязвимость в Групповой политике подвергает риску компьютеры с Windows

12.02.2015 | 18:36 Аналитика

Для разработки патча потребовалось более года. Для Windows Server 2003 патч отсутствует.

Во вторник Microsoft исправила критическую уязвимость, которая подвергала компьютеры с Windows риску взлома, особенно в корпоративных сетях.

Для разработки и тестирования патча для уязвимости, получившей название JASBUG, потребовалось более года и дополнительное упрочнение Групповой политики. Эту функцию организации используют для централизованного управления Windows-системами, приложениями и пользовательскими настройками в среде Active Directory.

Уязвимость является фундаментальным недостатком дизайна в Групповой политике, что оставалось нераскрытым, по крайней мере, десять лет, согласно данным консалтинговой фирмы безопасности JAS Global Advisors, которая нашла изъян вместе с другой компанией безопасности под названием simMachines. Они сообщили об этом в корпорацию Microsoft в январе 2014 года.

«В отличие от последних громких раскрытий таких уязвимостей, как Heartbleed, Shellshock, Gotofail и POODLE, это проблема разработки, а не реализации», заявила JAS на своем сайте. Чтобы исправить ее, Microsoft пришлось переделать основные компоненты операционной системы и добавить несколько новых функций.

Microsoft исправила уязвимость удаленного выполнения кода в бюллетене безопасности MS15-011, а также решила проблему обхода системы безопасности Групповой политики в MS15-014.

Инженеры по безопасности из Microsoft объяснили в своем блоге, что злоумышленники, могли бы использовать эти уязвимости с помощью таких методов, как ARP-спуфинг по локальной сети, чтобы обмануть компьютеры и заставить принять плохую конфигурацию Групповой политики от серверов, находящихся под их контролем.

Успешная эксплуатация уязвимости позволяет злоумышленникам устанавливать программы, изменять данные или создавать новые учетные записи на уязвимых системах.

В то время как этот вектор атаки на сети, безусловно, вызывает озабоченность, поскольку сотрудники часто подключают выданные компанией компьютеры к ненадежным сетям: в кафе и отелях, это не единственный сценарий атаки, предупреждает JAS.

JAS также идентифицировала и описала сценарий эксплуатации полностью через Интернет. «Есть ряд предпосылок, чтобы заставить его работать. Он, конечно, не работает повсеместно, и зависит от некоторых неправильных настроек и случайностей. Но он работает достаточно часто, чтобы представлять интерес», говорится в сообщении компании.

Позже компания планирует выпустить более подробную техническую информацию о методе атаки через интернет.

Для того, чтобы предотвратить успешную подмену контроллера домена, когда целевой компьютер пытается получить данные конфигурации Групповой политики, Microsoft добавила новую функцию под названием UNC (Universal Naming Convention) Hardened Access в обновлении MS15-011.

Когда эта функция включена, необходимо, чтобы клиент и сервер аутентифицировали друг друга, прежде чем клиент получит доступ к таким ресурсам UNC, как данные Групповой политики на сервере. Существуют также настройки для шифрования или проверки целостности таких соединений. Microsoft предоставляет инструкции о том, как использовать данную функцию в своей статье базы знаний.

В то время как проблема затрагивает все поддерживаемые версии Windows, Microsoft решила не выпускать патч для Windows Server 2003, расширенная поддержка которой закончится 14 июля.

Согласно Microsoft, не было возможности создать исправление для Windows Server 2003, поскольку это потребовало бы изменения архитектуры не только компонента Групповой политики, но и других важных частей операционной системы. Такие большие архитектурные изменения могли бы создать проблемы несовместимости с приложениями, которые были разработаны для Windows Server 2003, сообщает компания.

Хотя объяснение звучит разумно, оно, вероятно, будет малоутешительным для компаний, которые все еще ожидают получать патчи безопасности для Windows Server 2003 до июля — и даже позже, в случае тех, кто планирует заплатить за дальнейшую поддержку.

Миллионы систем по всему миру еще работают под управлением Windows Server 2003 и аналитики прогнозируют, что их перенос на новые версии ОС будет трудным, потому что вся бизнес-экосистема программного обеспечения была построена вокруг стареющей ОС.