A Microsoft gyakorlatilag könyörög a BlueKeep javításáért

Microsoft, Windows

Május 14-én a Microsoft javítást adott ki a CVE-2019-0708 azonosító alatt futó , régebbi Windows rendszereket érintő, kritikus, távoli kódfuttatást lehetővé tevő RDP sebezhetőségre. A Microsoft nem lehet elégedett a pachelések ütemével, mert egyik blogbejegyzésében arról ír, hogy meggyőződése szerint van működő exploit a sebezhetőségre és még mindig közel 1 millió sebezhető gép van közvetlenül az internetre kötve.

Mivel a sebezhetőség "wormable", azaz könnyen lehet rá magát terjesztő férget írni, a Microsoft attól tart, hogy akár egy, a WannaCry-hoz hasonló globális probléma is kialakulhat miatta. Emiatt arra kér nyomatékosan mindenkit, hogy akinek érintett, még nem patchelt rendszere van, az patcheljen mielőbb.

( Boobek | 2019. 06. 01., szo – 11:15 )

patch-elni == frissitest telepiteni?

( Kormoran | 2019. 06. 01., szo – 15:09 )

ezt magam részéről rendkívül szórakoztatónak találom. talán nem kellett volna a felhasználókat évtizedek balfaszkodásával arra kondicionálni hogy kerüljék el a frissítéseket mint démon a szent embert... tetszettek volna egy használható és normálisan frissíthető/frissülő rendszert csinálni.

"all submitted complaints will be forwarded to /dev/null for further investigation"
"ez ilyen hippi kommunás felfogás, ahogy Stallman sámán módjára dobol a nagy hasán, hogy GNU, free software, free as free beer."

1 millió sebezhető gépről van szó. És van több mint 1 milliárd windows-t futtató gép.
Ennél még az új mysql worm-ből is több lesz, biztos ott is elszúrták a linux frissitését :)

Nem tudom feltűnt-e, de az elmúlt 10 év windows-ai nem sebezhetőek ezügyben. Pedig állitólag azoknak szörnyű a patchelése. Akik netre publikálnak ősrégi, nem patchelt gépeket, azoknak nem hiszem, hogy a frissitéssel volnának probémái.

Van ez a Windows 10 nevű csoda. Biztos hallottál már róla te is! A 2018 Októberi frissítés is olyan simán ment, hogy még mindig tart, pedig a falhasználók szinte teljesen ki voltak hagyva a döntésből. Annyit dönthettek el, hogy most azonnal, vagy később.

Korábban pedig:
- felhasználói adatok törlődtek le frissítés miatt
- felhasználó által telepített alkalmazások törlődtek frissítés miatt
- partíciók tűntek el szőrén szálán, pl nekem is
- Windows frissítés tett használhatatlanná korábban működő rendszereket, kekhalál loop

Aki ezek után megbízik a Windows frissítésben, az nem szakember, hanem hívő.

--
Where do you want to go today?
[nobody@salcay:~]$_

Persze-persze. Nálunk valahogy 400 gépen fut hiba nélkül nemhogy a tavalyi, hanem az idei frissités is. Nem törlődött semmi, nem tűnt el semmi.
Igen, mi tesztelünk, nem települ semmi magától, arra van a wsus.

De ismét kérdezem, mi a frász köze van a w10 esetleges frissitési problémáinak a lyukas és xp-s gépek rdp patcheléséhez? (ami egyébként egy nyamvadt 500 kb-os exe, lefuttatod, restart, kész)

Csak mert pont nem érinti a w10-et (sem).

Tág családomban (kb 15 gép) mindenkinek w10-e van, nem menedzselt környezetben, zéró dolgom volt velük az elmúlt években, pedig ha gondjuk van, engem hivnak. Feltelepitettem, beállitottam nekik és ennyi.

De kétségkivül előfordulnak olyan konfigurációk, együtállások amelyek esetén gond volt. De ez a userek nagyon kis százalékát érinti, ellenben jó nagy média publiciást kap és akiknek közük sincs a témához (és kb életükben nem láttak w10-et) levonják a következtetést, hogy mennyi baj van vele. Nincs.

cég: homogén géppark (kb. 2-3 modell van összesen, mindegyik a fél millió+ nagyar forintban árkategória, tehát nem a tesco-s 100-150 ezres szarok), corporate wsus-sccm-mutáció tolja ki a peccseket rendszeresen.
Na ilyen körülmények között nincs olyan nap, amikor csak a közvetlen k9rnyezetemben ülő 10 emberből valaki ne szitkozódna h. lefagyott, kékhalálozott (v. egyéb szarakodás) a windows 10, 1709 és 1809 vegyesen. Nekem a logon screen nem szokott megjelenni kb. hetente 1x random esetben. Más mondta már ha várok ilyenkor 3-4 órát akkor talán megjelenik. Aha, inkább kinyomom a szemét. 7-est használtam 5-6 különböző gépen évekig, ott össz-vissz egy gépen volt egy rendszeresen előjövő fagyás (az volt a céges, tele corporate szarokkal+AD+Mcafee, a többi mind otthoni). De kb. fél év után egy valami update azt is megoldotta, azóta atomstabil.
--

A cég IT-ja pakolja rá a bloatware-t. Nem gondolod komolyan hogy a földön bármelyik megacorp is a vendor image-t használja... Kivéve ha megrendeli a + fizetős szolgáltatást h. a vendor már eleve a megacorp-os image-el szállítja ki a gépet. De az nyilván nem a standard vendor image lesz.
--

A Windows 10 októberi frissítése október 2-án megjelent, majd napokkal később visszavonásra került. Finoman szólva nem sikerült túl jól a végleges rendszer, és ezen a javító kedden,a rendszerhez megjelent első összegző sem változtat ezen túl sokat.

Kezdődött azzal, hogy az RTM-re jelölt (előzetes) verziója korán kiszivárgott, sokan feltelepítették, semmi probléma nem volt vele.
Október másodikán megjelent a Windows update-n a hivatalos kiadás, amely frissítést később hivatalosan visszavonták.

A processzorhasználat magas
A Lemezkarbantartóban alapértelmezetten törlésre került a letöltési könyvtár.

A problémát észlelő felhasználó tudatta a céggel, hogy több mint 15000 képet tárolt a letöltési könyvtárban, ami egy kivételével odaveszett.
Bár a probléma nem mindenkit érint, akiknél jelentkezik, azok számára igen súlyos károkat okozhat, hiszen potenciálisan helyreállíthatatlan emlékeket és anyagokat semmisíthet meg.A beszámolók szerint az állományok ugyanakkor "csak" a felhasználók Documents mappájából tűnnek el, ami egyrészt megnyugtató, másrészt azt jelenti, hogy aki máshol tárolja azokat, például az Inkább Linuxot használnék nevű mappába, vélhetően biztonságban tudhatja őket. A hiba oka nem ismert, de az biztosnak tűnik, hogy ha kiváltja valami, a Windows 10 egyetlen állományt sem kímél az említett mappában, és mindent letöröl onnan.

Tömegesen jelezték a felhasználók a Microsoft felé, hogy a teljesen legális aktiválásukat a rendszer kiktatta, már ugyanazzal a termékkulccsal nem sikerült aktiválni a rendszert.

"Meg kell mondanom, hogy súlyos a probléma - amely a frissítés után jelentkezik -, a Microsoft csapata jelenleg vizsgálatot folytat, mivel több felhasználó jelentette ezt az aktiválás elvesztési incidenset" - közölte a tanácsadó.

Valóban semmi probkéma sincs vele, a te virtuális valóságodban

Kevered a W10 legalább Pro verziót, 72E Ft-os árral, a cégednél, az otthoni felhasználóknál jeéllemzően OEM telepített
20E Ft körüli Home verzióval!
Előbbinél tudod szabályozni a gpedit.msc-vel hogy mikor és egyáltalán települjön-e frissítés, a Home verzió teljesen önjáró, magától, azonnal telepít minden frissítést.
400 gépes szakemberként van még mit tanulnod

1 millió...ezek csak azok a gépek amiknek van publikus lábukon nyitott RDP port. A belső hálózatokon 1 milliónak a több tízszerese lesz az, nem beszélve a termelésirányítási rendszerekről, amiket még ritkábban frissítenek.
Mysql-t meg nem teszünk ki publikus portra, MSSQL-ből is csak 50 ezret törtek, nem azért mert jobb, hanem mert azt sem tesszük ki.

Várjuk ki azt a mysql 50 ezret még csak most kezdődik a buli, lesz az még több is.

Belső hálózat? Na ott inkább ne számoljuk meg hány patcheletlen mysql van. De mindegy is, a világméretű worm-ok nem a belső hálózatokon terjednek, hanem a publikált gépeken. Ott ahol évtizedekig patcheletlen xp-ket futtatnak, ott ez az rdp bug a legkisebb gond, ha belülről támad valaki. Nem véletlen a publikosokról beszélnek, az tényleg veszélyes.

Miért, az mssql törésnek amit te hoztál fel ebben a threadben mi köze a windows frissitéshez? Pont ugyanaz a kettő.

Egyébként mi garantálja, hogy nem lesz több mysql törés, mint mssql? Az összes php pistike mysql-t használ, nagyságrenddel több mysql vacak van a neten mint mssql.

Te keverted ide a mysql-t, én csak arra reagáltam az mssql-el. Egyik sem tartozik ide, mint korábban írtam ezeket nem szokás kifelé megnyitni.
Más a helyzet az RDP-vel mert az meg pont a távoli elérés miatt kerül megnyitásra. Persze ha engem kérdeznek, akkor azt sem ajánlanám senkinek, használjon mindenki távoli eléréshez VPN-t.

Az RDP-t is kitesszük mert tök biztonságos. - Imo

És amúgy is százszor fejlettebb mint az SSH:

RDP-n keresztül ugye lehet parancssori programokat is futtatni, SSH-n keresztül viszont marha nehéz grafikus programokat futtatni, vezérelni. Ezért előbbi egyértelműen jobb, fejlettebb, mint utóbbi.

- Sting

Ne hazudozzál már hülyeségeket.

Azt mondtam, hogy egy patchelt, NLA-val védett publikált RDP biztonságos. Eddig 2 db ismert hiba volt, mindkettőt kivédte az NLA és azonnal patchelve is volt. Természetesen ezt a mostani hibát is. NLA eleve kivédte, de nem is érintett az elmúlt 10 évben kiadott windows-t.

Tehát miről is hadoválsz?

És mi közöm van ahhoz, hogy mit irt sting? Neked valami csúnyán bekattant :)

Én még mindig azt szeretném hallani, hogy hogyan törik meg az rdp-t. Ugye amiről az egész post szól, az - mint fentebb többször kifejtettem - kutyagumit nem ér, még egy átlagos jelszóval védett rdp kapcsán sem, nemhogy a normálisan beállitottal.
Innentől teljesen mindegy, hogy ez hányadik réteg.

https://hup.hu/cikkek/20180226/ismerd_meg_az_ellenseg_fegyvertarat_rdp_…

NLA zero hit.

És Stingest csak a másik elrettentő példaként hoztam fel. :)

Amúgy egy kérdés a nyomorult RDP loggolást már megcsinálták normálisan az MS-nél?

Mivel ez egy gagyi brute force tool-ról szóló hir, semmi köze nincs az NLA-hoz. (egyébként érdemes végig olvasni az egész thread-et, amiből kiragadtál egy mondatot, nagyon tanulságos)

De te is nagyon jól tudod, hogy már többször, több helyen leirtam és belevertem az orrod az NLA-val való RDP védésbe, amikor újra és újra pofára ejtetted a témában magad. :)
Természetesen azok nem bruteforce-ról szóló hirek voltak, hanem valamilyen rdp hibáról szóltak, ahol lényeges az NLA.

( uid_10547 | 2019. 06. 01., szo – 17:44 )

ilyenkor nem lenne egyszerűbb, ha az MS írna egy saját wormot, ami 'fertőzés' után patchelné a gépet, aztán inaktivalna magát a worm? :)

Van itt egy topic, ahol nyitott vnc-s ip-címek voltak összegyűjtve, na ott pl. volt xp-n futó erőmű vezérlés is, úgyhogy kicsit átértékelődött a "hekkerek behatoltak"-kezdetű újságírói fordulat.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Nada, nade!

És ha én részegen az otthoni gépemet akarom vezérelni, csak elírom az IP címet?
Aztán amikor gyanús, hogy ez nem az én gépem, megnézem a belső IP -jét, és rájövök, hogy márpedig de, ez az én gépem, (mert 127.0.0.1 a címe) csak valami szemétláda hekker letörölte az MP3 gyűjteményem meg telepakolta mindenféle szelep meg turbina vezérléses szimulátor játékkal, ami egyébként is biztosan warezolt játékprogram szóval nana, hogy széttekergetem, aztán rm -rf?

Na! Hát hol itt az én felelősségem, kérdem én biztos úr, egy átborozott éjszaka utáni pálinkás jó reggelen, amikor rám töri az ajtót a TEK, merthogy már nem füstöl a határban a szénerőmű, ami először szanaszét, majd röviddel utána romba dőlt?!

(2) Aki
a) az információs rendszer működését jogosulatlanul [vagy ...] akadályozza, vagy
b) információs rendszerben lévő adatot jogosulatlanul [vagy ...], töröl vagy hozzáférhetetlenné tesz,
bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.

Itt egy szo sincs arrol, hogy volt-e tuzfal, jelszo, fegyveres or a gep mellett, stb.

Nem, hacsak nem vesz 1 forintért bérletet.Vagy nem ad be ügyfélkapus azonosítás után tök más nevében (na jó kell hozzá a személyi szám meg a név de az meg kinek nincs meg) választási kérelmet...

Meanwhile: Anyám pay-as-you-go SIM kártyájával meg én vagyok szopóágon a Debrecen 2-vel :D

Ha az előbbit nem javítják akkor biza Viki októberben mozgóurnát kap és jöhet a TEK. :D

To Gelei with NKE: run you fool (minden bukott MS-os nálunk köt ki ?)

Tényleg az ilyenre mit mondanak az NKE IT lolsec szakán kíváncsi lennék. :) Azaz nem megyek a probonora letenni a droidoknak szánt vizsgát :P

Az a baj, hogy szerintem ez nem lyuk hanem per design. Az én elméletem: elvileg meghatalmazott útján is beadhatod a kérelmed, a meghatalmazott aki az ügyfélkapun belép (és te a túloldalt a szakrendszerbe baromira nem látod, így ellenőrizni se tudod , hogy tényleg-e vagy csak kopipászta). Úgyhogy gyakorlatilag ha szerzel egy ajánlóívet az emberkék személyi adataival akármilyen kérelmet beadhatsz. Nem kell eltalálnod hol lakik, nem kell eltalálnod , hogy ki volt az anyja. Név/személyi szám meg van és stimmel akkor minden kibaszott fasza. Ezért történhet,olyan rendkívüli esemény, hogy a választópolgár nem tudja , hogy mozgóurnát kért és elment szavazni. Vajon megtudjuk ki kért neki mozgóurnát ? (Hint: nem :))

Na azt én sem. (Jelentem a W2K3 R2 nyugdíjba került így a kollegáidnak legközelebb nem kell órákat tölteni azzal, hogy a "per server" licencelésű szerver az most "per user" vagy "per device"). És az biztos, hogy amíg én leszek a rendszergazdi nem is lesz ilyennel problémájuk (értsd véletlen se szerzünk be olyan terméket aminek a gyártója extra melót csinál :))

Mindenestre meglepett, hogy valaki onnan az NKE-re megy "továbbtanulni". Ennyi. :)
De remélem bejön (versenyszférában egyáltalán el lehet NKE-s papírral helyezkedni?)

Nektek is kellett ilyen keresztényes/buzis kérdésekre válaszolni az alaptörvénnyel kapcsolatos oktatáson (vagy az ilyen csak a mi belsős EU funded képzéseink sajátja)?

Hát alapvetően az NKE EIV képzés és a probono-s cucc között elég nagy a különbség. (Utóbbit szerencsére csak hallomásból. :)) Az EIV órák nagy részét eleve versenyszférából jött oktató tartja, és többé kevésbé up to date. Legalább annyira, mint bármelyik random egyetem IT szakja - persze ez önmagában nem nagy dicséret. :)

Aki úgy megy oda, hogy ő most hekker lesz, az nagyot csalódik (és volt ilyen, aki egy-két hét után ragequittelt). Kb a CISA/CISM témával párhuzamos, nyilván néhány kitérővel a magyar szabályozás felé.

Hogy az ipar mennyire fogja szeretni, az lutri, ami biztos, hogy LinkedInen gyakran betalál recruiter, illetve ami nem biztos, de állítólag igaz, hogy egyre több ember jelentkezik az államigazgatáson kívülről is.

Világnézeti kérdések pedig abszolút nem voltak. :)

( uid_16313 | 2019. 06. 01., szo – 21:13 )

A Föld szar hely :) Ha azt akarom, hogy ne kapjam el az influenza vírust, nem szabad emberek közé mennem. De akkor meg mi értelme az egésznek?

Nem az a baj, hogy rendszerek sebezhetők. Az a baj, hogy az emberek köcsögök, és visszaélnek a helyzettel.

--
robyboy

Az a baj, hogy az emberek köcsögök, és visszaélnek a helyzettel.

A Microsoft is régóta visszaél a saját helyzetével. Alapvetően ezért tudnak defektes szoftverek eladásából pénzt csinálni, és fittyet hányni azokra a felhasználókra, akik nem akarják az egyre csilivilibb köntösbe csomagolt egyre szarabbul-húgyabbul implementált tákolmányt megvásárolni.

( hajbazer v | 2019. 06. 06., cs – 20:32 )

Nem kellett volna abbahagyni százmilliók által használatban lévő rendszerek biztonsági frissítését, önző üzleti érdek által vezérelve.

A Microsoftot nem szabadna engedni új szoftvereket eladni, ameddig a még használatban lévő operációs rendszereiket nem hajlandóak hibajavításokkal és biztonsági frissítésekkel ellátni. Az egy dolog, hogy a Microsoft gyakorlatilag szándékosan szarik a felhasználók valódi igényeire, és annak ellenére nyírta ki a Windows XP támogatását, hogy azt 2014. áprilisában 400 millióan használták, viszont ez innentől már inkább a társadalmi felelősségvállalás kategóriája.

annyiban egyetértek hogy a MS pozíciójában a társadalmi felelősség kérdése már komolyan felmerül és hogy ebben többrendbelileg sárosak viszont ettől még piaci cég marad, szval vagy behintik sóval ez egészet (én mondjuk tapsolnék hozzá) vagy hagyják tovább csinálni amit csinálnak.

"all submitted complaints will be forwarded to /dev/null for further investigation"
"ez ilyen hippi kommunás felfogás, ahogy Stallman sámán módjára dobol a nagy hasán, hogy GNU, free software, free as free beer."