| Aktualizujtééééé. KB2992611. Jak jsem už vpravo v rychlovkách psal včera, vyšla úplně extrémně důležitá aktualizace (CVE tady) na TLS (a SSL samozřejmě, i když SSL je roky přešlá mrtvola) knihovnu SChannel, která je ve všech Windows a používá se úplně na všechny TLS komunikace.
Zaslouží si to pozornost, protože:
- je to remote code execution. To znamená, že vzdáleně nacpete do počítače kód. MS to nezveřejnil přesně, takže se neví ještě, jak moc kódu se tam dá dostat, ale hackeři jsou schopní vždycky něco vymyslet, aby to nemuselo být moc.
- je to chyba v serverové části toho TLS protokolu, takže to bude napadat všechny možné servery. TLS se používá na IIS samozřejmě. Ale o hodně hůře také v RDP, Exchange (SMTPS), na Active Directory řadičích domény (ADDS DC - domain controller) pro LDAPS. Dále tuto knihovnu samozřemě využívá i TMG a ISA server. Dneska ADFS a Hyper-V replication. Také VPN v podání SSTP, a IKEv2 a i IPSec pokud se ověřujete pomocí AuthIP, takže i DirectAccess například. Je jedno, jestli to je IPHTTPS, nebo Teredo. Stejně je uvnitř AuthIP a TLS ověření.
- je to TLS, které se ustavuje vždycky jako první, ještě dříve, než se vůbec někdo pokouší ověřovat. Takže to půjde nejspíš využít anonymně.
- nemá to žádné workarounds ani mitigation factors. Z toho plyne, že proti tomu nefunguje ani ověřování client TLS certificate. Plyne z toho, že neexistují žádné "best practices", ani jiné Windows zabudované ochrany, které by to zmírnily, nebo úplně zastavily. I kdyby se muselo třeba čekat na nějakého klienta, až se připojí, nebo kdyby útočník musel být MITM (man-in-the-middle), tak by to tam bylo uvedeno, protože to výrazně omezuje prostor k útoku. A uvedeno to tam není!
- je to problém v DLL knihovně, kterou si všechny ty systémy nahrávají do paměti. Nejde tedy o nějakou konkrétní Windows službu, ale o všechny služby, které tuto knihovnu používají. V tom, co jsem vyjmenoval v podstatě není ani jedna služba, která by na počítači neběžela pod účtem SYSTEM. Útočník tedy spustí kód, který je pánem daného počítače.
Vadí vám, že útok poběží pod účtem počítače? Ano. Uživatel SYSTEM je členem skupiny Administrators a může tedy dělat lokálně cokoliv. Stačí třeba, když do autorun klíče přihodí něco, co si spustíte až se přilásíte. Nebo si sám sobě vykrade hesla z IIS, naplánovaných úloh a služeb.
Samozřejmě, do sítě chodí už jen pod účtem počítače (POCITAC$), což je člen skupiny Users na ostatních strojích. Jenže vzhledem k počtu služeb, které jsou dostupné přes TLS takhle půjde napadnout velká část sítě. A pokud někdo napadne byť jen jediné DC, má celý forest v ruce a nemusí nic dalšího řešit. I když vám přepadnou Exchange, tak jste v pekle. Exchange server může obvykle vytvářet a modifikovat většinu účtů v Active Directory.
A tak to je. Psycho.
Pro úplnost - někdo si to plete s chybou v OleAut32 (MS tady). Což je ale něco jiného a ovlivňuje to "jen" klienta IE.
A teď jedna otázka - nedala to tam v devadesátých letech NSA? |