Если вы следите за новостями в мире IT, то наверное заметили что уже все успели опубликовать "сенсационную новость" о том что в ОС Windows была обнаружена новая критическая уязвимость, которая позволяет брать злоумышленнику под контроль весь трафик жертвы. Следующие статьи (на этот раз я решил привести их в виде списка) позволяют разобраться что к чему и так ли страшна новая уязвимость. Если вкратце, то в случае если ваша ОС уязвима, злоумышленник может вынудить ваш ПК открыть UDP-туннель через 137-й порт со своим сервером и с помощью поддельных ответов на запросы Web Proxy Auto-Discovery (WPAD) заставить ваш ПК применить специально подготовленные настройки Proxy-сервера в качестве системных, полностью получив контроль над трафиком вашей системы. Многие ресурсы, например ИА REGNUM, собственно так и описали худший из возможных сценариев: "Злоумышленник может контролировать не только HTTP и HTTPS-запросы: BadTunnel позволяет взять под контроль всю сетевую активность ОС. Например, вмешиваться в загрузку системных обновлений".
Теперь обещанные наиболее полезные ссылки, которые могут помочь разобраться в том, как же это происходит:
Ссылки на соответствующие KB на сайте Microsoft:
Однако, как выяснилось проблема и ее исправление имеет "побочные" эффекты. Так, например, после установки обновления KB3165191 (MS16-077) стало невозможным подключиться по протоколу Netbios over TCP/IP к сетевым шарам с клиентов, расположенных в других ip подсетях, а также появились проблемы при подключении Samba клиентов к контроллерам доменов расположенных в других подсетях. Более подробно про этом можно почитать на WinITPro.ru:
В итоге получаем что как уязвимость, так и само обновление направленное на ее исправление может принести немало головной боли системным администраторам, особенно тем, кому приходится иметь дело с достаточно крупной инфраструктурой.
Теперь обещанные наиболее полезные ссылки, которые могут помочь разобраться в том, как же это происходит:
- Критическая уязвимость позволяет перехватывать весь сетевой трафик пользователей Windows (Хабрахабр)
- Уязвимость BadTunnel в NetBIOS позволяет осуществить перехват всего web-трафика (SecurityLab.ru)
- Уязвимость во всех версиях Windows позволяет контролировать трафик жертвы (Хакер)
- Китайские программисты нашли критическую уязвимость во всех версиях Windows (RegNum)
- BadTunnel: Bad News?
Ссылки на соответствующие KB на сайте Microsoft:
- MS16-077: Обновление для системы безопасности для WPAD: 14 июня 2016 г.
- MS16-063: Накопительное обновление безопасности для обозревателя Internet Explorer: 14 июня 2016 г.
- Security Update for WPAD (3165191)
- Cumulative Security Update for Internet Explorer (3163649)
Однако, как выяснилось проблема и ее исправление имеет "побочные" эффекты. Так, например, после установки обновления KB3165191 (MS16-077) стало невозможным подключиться по протоколу Netbios over TCP/IP к сетевым шарам с клиентов, расположенных в других ip подсетях, а также появились проблемы при подключении Samba клиентов к контроллерам доменов расположенных в других подсетях. Более подробно про этом можно почитать на WinITPro.ru:
- Проблемы с доступом к шарам по SMB over NETBIOS из других подсетей
- Почему перестали работать некоторые GPO после установки MS16-072 (эта статья не затрагивает уязвимость BadTunnel, но также рассказывает о проблемах вызванных обновлением безопасности для предотвращения другой MiTM атаки)
В итоге получаем что как уязвимость, так и само обновление направленное на ее исправление может принести немало головной боли системным администраторам, особенно тем, кому приходится иметь дело с достаточно крупной инфраструктурой.
comment 0 التعليقات:
more_vertsentiment_satisfied Emoticon