A Microsoft gyakorlatilag könyörög a BlueKeep javításáért

 ( trey | 2019. június 1., szombat - 7:35 )

Május 14-én a Microsoft javítást adott ki a CVE-2019-0708 azonosító alatt futó , régebbi Windows rendszereket érintő, kritikus, távoli kódfuttatást lehetővé tevő RDP sebezhetőségre. A Microsoft nem lehet elégedett a pachelések ütemével, mert egyik blogbejegyzésében arról ír, hogy meggyőződése szerint van működő exploit a sebezhetőségre és még mindig közel 1 millió sebezhető gép van közvetlenül az internetre kötve.

Mivel a sebezhetőség "wormable", azaz könnyen lehet rá magát terjesztő férget írni, a Microsoft attól tart, hogy akár egy, a WannaCry-hoz hasonló globális probléma is kialakulhat miatta. Emiatt arra kér nyomatékosan mindenkit, hogy akinek érintett, még nem patchelt rendszere van, az patcheljen mielőbb.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

patch-elni == frissitest telepiteni?

Pontosan! Minden hálózatra kapcsolt (hálózati) eszköznek (sz.gép, nyomtató, kamera, router, switch stb.) legyen naprakész a vezérlő szoftvere!!!

ezt magam részéről rendkívül szórakoztatónak találom. talán nem kellett volna a felhasználókat évtizedek balfaszkodásával arra kondicionálni hogy kerüljék el a frissítéseket mint démon a szent embert... tetszettek volna egy használható és normálisan frissíthető/frissülő rendszert csinálni.


"all submitted complaints will be forwarded to /dev/null for further investigation"
"ez ilyen hippi kommunás felfogás, ahogy Stallman sámán módjára dobol a nagy hasán, hogy GNU, free software, free as free beer."

1 millió sebezhető gépről van szó. És van több mint 1 milliárd windows-t futtató gép.
Ennél még az új mysql worm-ből is több lesz, biztos ott is elszúrták a linux frissitését :)

Nem tudom feltűnt-e, de az elmúlt 10 év windows-ai nem sebezhetőek ezügyben. Pedig állitólag azoknak szörnyű a patchelése. Akik netre publikálnak ősrégi, nem patchelt gépeket, azoknak nem hiszem, hogy a frissitéssel volnának probémái.

Van ez a Windows 10 nevű csoda. Biztos hallottál már róla te is! A 2018 Októberi frissítés is olyan simán ment, hogy még mindig tart, pedig a falhasználók szinte teljesen ki voltak hagyva a döntésből. Annyit dönthettek el, hogy most azonnal, vagy később.

Korábban pedig:
- felhasználói adatok törlődtek le frissítés miatt
- felhasználó által telepített alkalmazások törlődtek frissítés miatt
- partíciók tűntek el szőrén szálán, pl nekem is
- Windows frissítés tett használhatatlanná korábban működő rendszereket, kekhalál loop

Aki ezek után megbízik a Windows frissítésben, az nem szakember, hanem hívő.

--
Where do you want to go today?
[nobody@salcay:~]$_

Persze-persze. Nálunk valahogy 400 gépen fut hiba nélkül nemhogy a tavalyi, hanem az idei frissités is. Nem törlődött semmi, nem tűnt el semmi.
Igen, mi tesztelünk, nem települ semmi magától, arra van a wsus.

De ismét kérdezem, mi a frász köze van a w10 esetleges frissitési problémáinak a lyukas és xp-s gépek rdp patcheléséhez? (ami egyébként egy nyamvadt 500 kb-os exe, lefuttatod, restart, kész)

Csak mert pont nem érinti a w10-et (sem).

Enterprise (menedzselt, tesztelt) környezet tapasztalatait vetítitek össze a home felhasználókkal. Az utóbbiak W10 esetében tényleg átélhettek negatív élményeket az erőltetett frissítés miatt.

Tág családomban (kb 15 gép) mindenkinek w10-e van, nem menedzselt környezetben, zéró dolgom volt velük az elmúlt években, pedig ha gondjuk van, engem hivnak. Feltelepitettem, beállitottam nekik és ennyi.

De kétségkivül előfordulnak olyan konfigurációk, együtállások amelyek esetén gond volt. De ez a userek nagyon kis százalékát érinti, ellenben jó nagy média publiciást kap és akiknek közük sincs a témához (és kb életükben nem láttak w10-et) levonják a következtetést, hogy mennyi baj van vele. Nincs.

cég: homogén géppark (kb. 2-3 modell van összesen, mindegyik a fél millió+ nagyar forintban árkategória, tehát nem a tesco-s 100-150 ezres szarok), corporate wsus-sccm-mutáció tolja ki a peccseket rendszeresen.
Na ilyen körülmények között nincs olyan nap, amikor csak a közvetlen k9rnyezetemben ülő 10 emberből valaki ne szitkozódna h. lefagyott, kékhalálozott (v. egyéb szarakodás) a windows 10, 1709 és 1809 vegyesen. Nekem a logon screen nem szokott megjelenni kb. hetente 1x random esetben. Más mondta már ha várok ilyenkor 3-4 órát akkor talán megjelenik. Aha, inkább kinyomom a szemét. 7-est használtam 5-6 különböző gépen évekig, ott össz-vissz egy gépen volt egy rendszeresen előjövő fagyás (az volt a céges, tele corporate szarokkal+AD+Mcafee, a többi mind otthoni). De kb. fél év után egy valami update azt is megoldotta, azóta atomstabil.
--

Akkor én valamit rosszul csinálok. :(

(hozzáteszem, ha a félmilliós gépek brand gépek, brand oprenszerrel, előretelepitett bloatware-ekkel, akkor valószinű ott a bibi, de nyilván egy hozzáértő rendszergazda erre rájön hamar)

A cég IT-ja pakolja rá a bloatware-t. Nem gondolod komolyan hogy a földön bármelyik megacorp is a vendor image-t használja... Kivéve ha megrendeli a + fizetős szolgáltatást h. a vendor már eleve a megacorp-os image-el szállítja ki a gépet. De az nyilván nem a standard vendor image lesz.
--

Kevered a W10 legalább Pro verziót, 72E Ft-os árral, a cégednél, az otthoni felhasználóknál jeéllemzően OEM telepített
20E Ft körüli Home verzióval!
Előbbinél tudod szabályozni a gpedit.msc-vel hogy mikor és egyáltalán települjön-e frissítés, a Home verzió teljesen önjáró, magától, azonnal telepít minden frissítést.
400 gépes szakemberként van még mit tanulnod

1 millió...ezek csak azok a gépek amiknek van publikus lábukon nyitott RDP port. A belső hálózatokon 1 milliónak a több tízszerese lesz az, nem beszélve a termelésirányítási rendszerekről, amiket még ritkábban frissítenek.
Mysql-t meg nem teszünk ki publikus portra, MSSQL-ből is csak 50 ezret törtek, nem azért mert jobb, hanem mert azt sem tesszük ki.

Várjuk ki azt a mysql 50 ezret még csak most kezdődik a buli, lesz az még több is.

Belső hálózat? Na ott inkább ne számoljuk meg hány patcheletlen mysql van. De mindegy is, a világméretű worm-ok nem a belső hálózatokon terjednek, hanem a publikált gépeken. Ott ahol évtizedekig patcheletlen xp-ket futtatnak, ott ez az rdp bug a legkisebb gond, ha belülről támad valaki. Nem véletlen a publikosokról beszélnek, az tényleg veszélyes.

A belső hálózaton is terjednek, amint beviszik őket :-P
Ne keverjük a mysql-t meg az MSSQL-t. Az MSSQL-ből törtek 50e-t: https://gbhackers.com/hackers-infect-over-50000-windows-ms-sql-and-phpmyadmin-servers-worldwide-with-20-different-payload/

Ja, hogy mssql. Bruteforce-al ezer variációból kitalált jelszóval. Na lapozzunk :)

(most egyébként mysql-eket törögetnek ransomware-rel, onnan jutott eszembe)

Mégis hogyan törögetnének mysql-eket ransomware-el? :) Linket írsz?

Pont ugyanúgy, ahogy az mssql-eket, amit linkeltél. Brute force-al kitalálják a jelszót és eltitkositják az adatbázisokat, bitconiért visszakapod őket, vagy nem :)

"Ennél még az új mysql worm-ből is több lesz, biztos ott is elszúrták a linux frissitését :)"

Tehát brute force...ebben az esetben viszont már garantáltan nem lesz több a mysql törés. Ráadásul köze sincs a linux frissítésekhez.

Miért, az mssql törésnek amit te hoztál fel ebben a threadben mi köze a windows frissitéshez? Pont ugyanaz a kettő.

Egyébként mi garantálja, hogy nem lesz több mysql törés, mint mssql? Az összes php pistike mysql-t használ, nagyságrenddel több mysql vacak van a neten mint mssql.

Te keverted ide a mysql-t, én csak arra reagáltam az mssql-el. Egyik sem tartozik ide, mint korábban írtam ezeket nem szokás kifelé megnyitni.
Más a helyzet az RDP-vel mert az meg pont a távoli elérés miatt kerül megnyitásra. Persze ha engem kérdeznek, akkor azt sem ajánlanám senkinek, használjon mindenki távoli eléréshez VPN-t.

Az RDP-t is kitesszük mert tök biztonságos. - Imo

És amúgy is százszor fejlettebb mint az SSH:

Idézet:
RDP-n keresztül ugye lehet parancssori programokat is futtatni, SSH-n keresztül viszont marha nehéz grafikus programokat futtatni, vezérelni. Ezért előbbi egyértelműen jobb, fejlettebb, mint utóbbi.

- Sting

Ne hazudozzál már hülyeségeket.

Azt mondtam, hogy egy patchelt, NLA-val védett publikált RDP biztonságos. Eddig 2 db ismert hiba volt, mindkettőt kivédte az NLA és azonnal patchelve is volt. Természetesen ezt a mostani hibát is. NLA eleve kivédte, de nem is érintett az elmúlt 10 évben kiadott windows-t.

Tehát miről is hadoválsz?

És mi közöm van ahhoz, hogy mit irt sting? Neked valami csúnyán bekattant :)

Idézet:
Én még mindig azt szeretném hallani, hogy hogyan törik meg az rdp-t. Ugye amiről az egész post szól, az - mint fentebb többször kifejtettem - kutyagumit nem ér, még egy átlagos jelszóval védett rdp kapcsán sem, nemhogy a normálisan beállitottal.
Innentől teljesen mindegy, hogy ez hányadik réteg.

https://hup.hu/cikkek/20180226/ismerd_meg_az_ellenseg_fegyvertarat_rdp_brute_force_toro_es_szkennelo_250_dollarert

NLA zero hit.

És Stingest csak a másik elrettentő példaként hoztam fel. :)

Amúgy egy kérdés a nyomorult RDP loggolást már megcsinálták normálisan az MS-nél?

Mivel ez egy gagyi brute force tool-ról szóló hir, semmi köze nincs az NLA-hoz. (egyébként érdemes végig olvasni az egész thread-et, amiből kiragadtál egy mondatot, nagyon tanulságos)

De te is nagyon jól tudod, hogy már többször, több helyen leirtam és belevertem az orrod az NLA-val való RDP védésbe, amikor újra és újra pofára ejtetted a témában magad. :)
Természetesen azok nem bruteforce-ról szóló hirek voltak, hanem valamilyen rdp hibáról szóltak, ahol lényeges az NLA.

ilyenkor nem lenne egyszerűbb, ha az MS írna egy saját wormot, ami 'fertőzés' után patchelné a gépet, aztán inaktivalna magát a worm? :)

És mi lesz ha leáll a lélegeztető gép? Mert windowson patch nincs restart nélkül.

Kritikus rendszert nem tesznek windowsra, vagy ha igen, akkor az úgy is orosz rulett.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

vagy ezeket a gépeket nem kötik hálózatra...

Van itt egy topic, ahol nyitott vnc-s ip-címek voltak összegyűjtve, na ott pl. volt xp-n futó erőmű vezérlés is, úgyhogy kicsit átértékelődött a "hekkerek behatoltak"-kezdetű újságírói fordulat.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Attól mert publikusan elérhető gépre be lehet lépni nullpasswd-el vnc-n, az még hekkelés :) Nem a ráfordított erő függvényében válik hekkeléssé, hanem a jogosulatlan hozzáférés ténye miatt.
--

Nada, nade!

És ha én részegen az otthoni gépemet akarom vezérelni, csak elírom az IP címet?
Aztán amikor gyanús, hogy ez nem az én gépem, megnézem a belső IP -jét, és rájövök, hogy márpedig de, ez az én gépem, (mert 127.0.0.1 a címe) csak valami szemétláda hekker letörölte az MP3 gyűjteményem meg telepakolta mindenféle szelep meg turbina vezérléses szimulátor játékkal, ami egyébként is biztosan warezolt játékprogram szóval nana, hogy széttekergetem, aztán rm -rf?

Na! Hát hol itt az én felelősségem, kérdem én biztos úr, egy átborozott éjszaka utáni pálinkás jó reggelen, amikor rám töri az ajtót a TEK, merthogy már nem füstöl a határban a szénerőmű, ami először szanaszét, majd röviddel utána romba dőlt?!

Ki kell próbálni, megáll-e majd ez a védekezés a bíróság előtt :)
--

Hint: nem. :)

(2) Aki
a) az információs rendszer működését jogosulatlanul [vagy ...] akadályozza, vagy
b) információs rendszerben lévő adatot jogosulatlanul [vagy ...], töröl vagy hozzáférhetetlenné tesz,
bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.

Itt egy szo sincs arrol, hogy volt-e tuzfal, jelszo, fegyveres or a gep mellett, stb.

Azt azért tegyük hozzá, hogy ezt a cselekményt csak szándékosan lehet elkövetni.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Igen. Viszont attol, hogy kamuzol valamit, meg nem lesz nem szandekos. :)

Itt pont arról volt most szó, ha valaki véletlenül beesik egy nyitott gépre, a -kkor automatikusan nem lesz hekker belőle, ugyebár...

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Nem, hacsak nem vesz 1 forintért bérletet.Vagy nem ad be ügyfélkapus azonosítás után tök más nevében (na jó kell hozzá a személyi szám meg a név de az meg kinek nincs meg) választási kérelmet...

Meanwhile: Anyám pay-as-you-go SIM kártyájával meg én vagyok szopóágon a Debrecen 2-vel :D

Ha az előbbit nem javítják akkor biza Viki októberben mozgóurnát kap és jöhet a TEK. :D

To Gelei with NKE: run you fool (minden bukott MS-os nálunk köt ki ?)

Tényleg az ilyenre mit mondanak az NKE IT lolsec szakán kíváncsi lennék. :) Azaz nem megyek a probonora letenni a droidoknak szánt vizsgát :P

Lol, hát nem fog csodálkozni, hidd el! Nyilván szándékosan lyukas a rendszer, ez biztosítja a stabil szavazatokat.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Az a baj, hogy szerintem ez nem lyuk hanem per design. Az én elméletem: elvileg meghatalmazott útján is beadhatod a kérelmed, a meghatalmazott aki az ügyfélkapun belép (és te a túloldalt a szakrendszerbe baromira nem látod, így ellenőrizni se tudod , hogy tényleg-e vagy csak kopipászta). Úgyhogy gyakorlatilag ha szerzel egy ajánlóívet az emberkék személyi adataival akármilyen kérelmet beadhatsz. Nem kell eltalálnod hol lakik, nem kell eltalálnod , hogy ki volt az anyja. Név/személyi szám meg van és stimmel akkor minden kibaszott fasza. Ezért történhet,olyan rendkívüli esemény, hogy a választópolgár nem tudja , hogy mozgóurnát kért és elment szavazni. Vajon megtudjuk ki kért neki mozgóurnát ? (Hint: nem :))

> minden bukott MS-os nálunk köt ki ?

*popcorn.jpg*

Nem igazán követtem az eseményeket újabban MSHU témában, van valami fejlemény?

Na azt én sem. (Jelentem a W2K3 R2 nyugdíjba került így a kollegáidnak legközelebb nem kell órákat tölteni azzal, hogy a "per server" licencelésű szerver az most "per user" vagy "per device"). És az biztos, hogy amíg én leszek a rendszergazdi nem is lesz ilyennel problémájuk (értsd véletlen se szerzünk be olyan terméket aminek a gyártója extra melót csinál :))

Mindenestre meglepett, hogy valaki onnan az NKE-re megy "továbbtanulni". Ennyi. :)
De remélem bejön (versenyszférában egyáltalán el lehet NKE-s papírral helyezkedni?)

Nektek is kellett ilyen keresztényes/buzis kérdésekre válaszolni az alaptörvénnyel kapcsolatos oktatáson (vagy az ilyen csak a mi belsős EU funded képzéseink sajátja)?

Hát alapvetően az NKE EIV képzés és a probono-s cucc között elég nagy a különbség. (Utóbbit szerencsére csak hallomásból. :)) Az EIV órák nagy részét eleve versenyszférából jött oktató tartja, és többé kevésbé up to date. Legalább annyira, mint bármelyik random egyetem IT szakja - persze ez önmagában nem nagy dicséret. :)

Aki úgy megy oda, hogy ő most hekker lesz, az nagyot csalódik (és volt ilyen, aki egy-két hét után ragequittelt). Kb a CISA/CISM témával párhuzamos, nyilván néhány kitérővel a magyar szabályozás felé.

Hogy az ipar mennyire fogja szeretni, az lutri, ami biztos, hogy LinkedInen gyakran betalál recruiter, illetve ami nem biztos, de állítólag igaz, hogy egyre több ember jelentkezik az államigazgatáson kívülről is.

Világnézeti kérdések pedig abszolút nem voltak. :)

Ha ez volt akkor én voltam.
This was violating terms of service btw.

.. azért, mert..?

A Föld szar hely :) Ha azt akarom, hogy ne kapjam el az influenza vírust, nem szabad emberek közé mennem. De akkor meg mi értelme az egésznek?

Nem az a baj, hogy rendszerek sebezhetők. Az a baj, hogy az emberek köcsögök, és visszaélnek a helyzettel.

--
robyboy

Idézet:
Az a baj, hogy az emberek köcsögök, és visszaélnek a helyzettel.

A Microsoft is régóta visszaél a saját helyzetével. Alapvetően ezért tudnak defektes szoftverek eladásából pénzt csinálni, és fittyet hányni azokra a felhasználókra, akik nem akarják az egyre csilivilibb köntösbe csomagolt egyre szarabbul-húgyabbul implementált tákolmányt megvásárolni.

Itt van az RDP scan-t végző fickó blogposztja:
https://blog.erratasec.com/2019/05/almost-one-million-vulnerable-to.html

Nem kellett volna abbahagyni százmilliók által használatban lévő rendszerek biztonsági frissítését, önző üzleti érdek által vezérelve.

A Microsoftot nem szabadna engedni új szoftvereket eladni, ameddig a még használatban lévő operációs rendszereiket nem hajlandóak hibajavításokkal és biztonsági frissítésekkel ellátni. Az egy dolog, hogy a Microsoft gyakorlatilag szándékosan szarik a felhasználók valódi igényeire, és annak ellenére nyírta ki a Windows XP támogatását, hogy azt 2014. áprilisában 400 millióan használták, viszont ez innentől már inkább a társadalmi felelősségvállalás kategóriája.