У недавньому періоді, а саме наприкінці минулого року, Microsoft покращила автентифікацію власного сервера DCOM. Ці заходи були вжиті як комплекс заходів у відповідь на вразливість, яку було виявлено командою етичних хакерів.
Про цих хакерів, їх кодекс та правила ми з вами поговоримо в найближчих публікаціях – стежте за нашим блогом .
А поки що протестуємо та перевіримо вашу мережу, оскільки розробники досі обкатують зміни та ще не зробили їх постійними.
Photo by geralt on Pixabay
Підписуйтесь на нас у Facebook, Telegram, Twitter чи Instagram, щоб бути у тренді!
В оновленні з безпеки недостатньо подробиць про начинку, однак цілком достатньо інформації про те, як це нововведення вплине на мережеве середовище користувачів та адміністраторів.
Це оновлення та ремонт несправностей, які дозволяли обійти функцію захисту сервера DCOM – Component Object Model.
Що саме виправлено? Тільки бюлетень із країни сонця, що сходить, проливає світло на ці нюанси і пропонує підказки.
Далі висновки та корисна інформація з документа.
Патч
Обхід захисту був можливий шляхом використання вразливості. Клієнту DCOM пропонувалося підключитися до заздалегідь створеного сервера. Для цього відправлялося фішингове повідомлення у вигляді електронного листа або іншого каналу зв’язку, і вхід у систему означав, що нею заволодів не вхідний, а переодягнений листоноша. Який своїми діями компрометував справжнього авторизованого.
Патч виправив цей стан речей, ускладнивши та посиливши автентифікацію між двома точками – DCOM-сервером та клієнтом.
Він включив ускладнену автентифікацію DCOM RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
Цей рівень захисту дає гарантію, що дані, що передаються між клієнтом і сервером, не змінюються і не можуть бути сфальсифіковані навіть частково.
Що таке DCOM?
Про всяк випадок згадаємо що таке DCOM. Це просунута технологія Microsoft зв’язку програмних компонентів комп’ютерів у мережі.
Багато хто не до кінця розуміє складнощі і те, що не всі події фіксуються в однойменному журналі адміністрування і не надають видимого впливу на наші мережі.
Принцип технології є протоколом надання об’єктів за допомогою віддалених викликів RPC. І після того, як було реалізовано патч, знадобилися зміни та тестовий період, щоб переконатися, що обійти захист більше нікому не вдасться.
RPC – це осердя розробки і він потрібен для того, щоб за допомогою цього клієнт-серверного протоколу, розробники могли викликати процедури на віддаленому або локальному мережевому вузлі.
Сортування масиву даних та подробиці самого підключення відбувається поза видимим полем у надрах RPC на рівні машин. І ця обставина дозволяє програмістам та адміністраторам підключатися безпосередньо до клієнтських програм та до віддалених комп’ютерів.
Тестування
Ця технологія та новий патч чудові, тому що не зобов’язують розробників знати та турбуватися про деталі та про те, як саме відбувається обмін інформацією, як викликаються процедури та які дані переміщуються між точками.
Проте, таке спрощення ускладнює діагностику і те, що не ясно які сполучені зміни це внесе в загальне мережеве середовище та систему в цілому.
Тому важливо провести тести своїх бізнес-систем та виявити нестандартну або навіть позаштатну поведінку додатків. Навіть звичайні рядові збої слід уважно переглянути причини. Також рекомендується з’ясувати, чи можна порівняти процеси всередині ваших систем з можливістю ваших партнерів та постачальників інтегрувати це нововведення. Чи зможуть вони змінити програмне забезпечення, якщо воно зачіпає цей протокол.
Перевірка та захист
У 2022 році необхідно завершити тести, розгорнувши наявні початкові оновлення у чистому середовищі, і остаточно зрозуміти, чи ваші бізнес-процеси це оновлення. Ви повинні з’ясувати – підключення сервера DCOM за новим принципом суворого рівня автентифікації дарує вам переваги чи навпаки – ускладнює всі процеси.
Microsoft незабаром поетапно впроваджуватиме рівні нової автентифікації. Перший реліз був здійснений, як ми вже говорили вище – минулого року і надалі користувачі вручну встановлюватимуть у розділи реєстру оновлення.
Щоб мати всебічний захист, встановіть розділ реєстру RequireIntegrityActivationAuthenticationLevel = 1 на серверах DCOM.
Звернемо увагу на те, що ці оновлення захищають клієнта Windows DCOM, але не захищають у середовищі, відмінних від Windows.
Мануал розгортання на клієнтах і серверах, щоб зрозуміти вплив на вашу мережу:
Чого торкнеться
У початкових тестових варіаціях патчери спостерігали, що при включенні та активації ключа на кластерах Hyper-V з консолі – робота здійснювалася лише на вузлі кластера, який є власником. Консоль відпрацювання відмови Microsoft Management Console вибірково працювала, а не тому, що повинна за замовчуванням. Також WMI-підключення з хостів до аварійних Hyper-V вінчалися збоєм та помилками доступу.
Як рішення було прийнято процедуру використання PowerShell для управління системою або сам центр адміністрування.
Посилення захисту після активації не можна буде відключити, тому важливо перевірити усі компоненти вже зараз. Зрозумівши наслідки, ви не залишитеся в майбутньому без потрібних оновлень.
Компанія з впровадження суворої автентифікації ставить собі за мету поетапно розгорнути усі оновлення, щоб мінімізувати неприємні можливі моменти.
Протестуйте ці параметри, щоб не мати побічних ефектів.
У нас ви отримаєте надійний захищений хостинг, гарний домен та SSL-сертифікат для свого бізнесу.