Marraskuun musta tiistai laskee yhtenä kaikkien aikojen painavimmasta 14 tietoturvapäivityksestä, jotka sisältävät korjauksia 33 erikseen tunnistetulle tietoturva-aukolle, 14 uudelle turvattomalle korjaukselle, kahdelle muutokselle vanhempien tietoturvapäivitysten asentajille ja kolmelle muutokselle vanhemmille tietoturvapäivityksille. Mutta itse laastarit ovat vain osa tarinaa.
Tämän kuukauden mustan tiistain laastarit alkoivat omituisella - vaikkakin toiveikkaalla - merkillä. Microsoft veti vapaaehtoisesti kaksi tietoturvatiedotetta (tuntemattomaan määrään liitettyjä korjaustiedostoja) ennen niiden julkaisua. Sekä MS14-068 että MS14-075 on lueteltu virallisessa tietoturvatiedotteiden yhteenvedossa "Julkaisupäivä määritetään myöhemmin". En ole koskaan ennen nähnyt tuota nimitystä. Oletettavasti Microsoft tarttui virheisiin korjaustiedostoista ja veti ne viime hetkellä. Jos näin on, se on erittäin myönteinen kehitys.
Näen satunnaisia raportteja KB 3003743: sta - osa MS14-074 - rikkoo samanaikaisia RDP-istuntoja. My Digital Life -foorumien juliste turducken kiinnittää sen:
Tämän päivän päivitykset sisältävät KB3003743 ja sen mukana tulee termsrv.dll-versio 6.1.7601.18637
Jason Hart on myös twiitannut, että KB 3003743 tappaa NComputingin virtualisointiohjelmiston.
Tämä kuulostaa muistuttavan viime kuussa aiheuttamia ongelmia KB 2984972: sta, joka myös huijasi samanaikaisia RDP-istuntoja joillakin koneilla. Viime kuussa helppo ratkaisu oli korjaustiedoston poistaminen, ja RDP alkoi toimia uudelleen. Microsoftilla on paljon monimutkaisempi ratkaisu KB 2984972 -artikkelissa. Tässä vaiheessa ei ole mitään viitteitä siitä, toimiiko manuaalinen ratkaisu KB 3003743: n kanssa. En ole myöskään kuullut, vaikuttaako se App-V-paketteihin - toinen tunnusmerkki huonosta KB 2984872 -korjauksesta viime kuussa.
Jos sinulla on IE11 ja EMET, on tärkeää siirtyä uusimpaan versioon, EMET 5.1, ennen tämän kuukauden MS14-065 / KB 3003057 -korjaustiedoston asentamista. TechNet-blogi ilmaisee sen näin:
Jos käytät Internet Explorer 11: ää joko Windows 7: ssä tai Windows 8.1: ssä ja olet ottanut käyttöön EMET 5.0: n, on erityisen tärkeää asentaa EMET 5.1, koska yhteensopivuusongelmia havaittiin marraskuun Internet Explorerin tietoturvapäivityksen ja EAF + -lievityksen yhteydessä. Kyllä, EMET 5.1 julkaistiin juuri maanantaina.
Lehdistössä on jonkin verran huolta siitä, että äskettäin korjattu "schannel" -vika voi olla yhtä laaja ja hyödynnettävissä kuin aiemmin tänä vuonna löydetty surullisen OpenSSL Heartbleed -reikä.
Epäilemättä sinun on asennettava MS14-066 / KB 2992611 mihin tahansa Windows-koneeseen, joka käyttää Web-palvelinta, FTP-palvelinta tai sähköpostipalvelinta - ennemmin kuin myöhemmin. Mutta sinun täytyy pudottaa kaikki ja korjata palvelimesi tällä hetkellä? Mielipiteet vaihtelevat.
SANS Internet Storm Center, joka yleensä ottaa erittäin proaktiivisen korjaustiedoston, suojaa vedonsa tällä. SANS: lla MS14-066 on lueteltu "kriittisenä" pelottavamman "Patch Now" sijaan. Tohtori Johannes Ullrich jatkaa:
Oletan, että sinulla on todennäköisesti viikko, ehkä vähemmän, järjestelmiesi korjaus ennen kuin hyväksikäyttö vapautetaan. Onko sinulla hyvä luettelo järjestelmistäsi? Sitten olet hyvässä kunnossa tekemään tämän työn. Loput (valtaosa?): Kun korjaat, selvitä myös vastatoimenpiteet ja vaihtoehtoiset hätäkokoonpanot.
Todennäköisimmät kohteet ovat SSL-palvelut, joihin pääsee ulkopuolelta: Verkko- ja postipalvelimet olisivat luetteloni kärjessä. Mutta ei voi satuttaa tarkistamaan viimeisimmän infrastruktuurin ulkoisen tarkistuksen raporttia, onko sinulla mitään muuta. Todennäköisesti hyvä toistaa tämä tarkistus, jos et ole aikatauluttanut sitä säännöllisesti.
Siirry seuraavaksi sisäisiin palvelimiin. Niihin on vähän vaikeampaa päästä, mutta muista, että tarvitset vain yhden sisäisen tartunnan saaneen työaseman paljastamaan ne.
Kolmas: Matkustavat kannettavat tietokoneet ja muut vastaavat poistuvat kehältäsi. Niiden pitäisi olla jo lukittu, eivätkä todennäköisesti kuuntele saapuvia SSL-yhteyksiä, mutta eivät voi satuttaa tarkistamaan. Joku outo SSL VPN? Ehkä jokin pikaviestiohjelmisto? Nopean porttiskannauksen pitäisi kertoa sinulle enemmän.
Schannelin ympärille on jo muodostumassa katkera kaupunkimytologia. Voit lukea lehdistössä, että schannel-turva-aukko on ollut olemassa jo 19 vuotta. Ei totta - skannellivirhe tunnistetaan nimellä CVE-2014-6321, ja tunnistamattomat tutkijat (mahdollisesti Microsoftin sisäiset) löysivät sen. Se on reikä ohjelmistossa HTTPS-yhteyksiä varten.
IBM X-Force -tutkimusryhmän havaitsema 19-vuotias haavoittuvuus on CVE-2014-6332. Se on COM-aukko, jota voidaan hyödyntää VBScriptin kautta. Se on virheen, jonka MS14-064 / KB 3011443 on korjannut. Kuten parhaiten osaan sanoa, kahdella tietoturva-aukkalla ei ole mitään yhteistä.
Älä sekoita. BBC sekoitti kaksi turva-aukkoa, ja muut uutislehdet kirjoittavat raportin.
Kuukausittaisen tietoturvatiedotteen äkillisestä katoamisesta - virallista ilmoitusta ei ole ollut, mutta Dustin Childs, joka aiemmin käytti verkkolähetyksiä, on nimetty uudelleen, enkä löytänyt verkkolähetystä marraskuun tietotiedotteille. Aiemmin tänä aamuna Childs twiittasi:
14 tiedotetta 16 sijasta - niitä ei edes numeroitu uudelleen. Ei käyttöönoton prioriteettia. Ei yleiskatsausvideota. Ei web-lähetystä. Kai asiat muuttuvat.
Se on upea kehitys, erityisesti kaikille, joiden on ymmärrettävä Microsoftin korjaustiedostot. Tiedotteiden numeroinnin epäonnistuminen ei ravista kenenkään uskoa Microsoftin korjaustiedostoon - pidän sitä tervetullut muutoksena. Kuukausittaisen tietoturvatiedotteen käyttöönoton prioriteettiluettelon, yleiskatsausvideon tai webcast-lähetyksen puuttuminen jättää kuitenkin useimmat Windowsin tietoturva-ammattilaiset unohduksiin. Microsoft on julkaissut yleiskuvan mustalle tiistalle jo vuosia, ja verkkolähetys tarjoaa paljon epäpuhtaita neuvoja, joita ei ole saatavilla missään muualla.
Jos verkkolähetykset on vedetty - en näe virallista vahvistusta - erityisesti Microsoftin yritysasiakkailla on hyvä syy valittaa.
