Security Week 06: відкриті паролі в SCADA, уразливість в SMB, токен для Google Apps

Давно ми не говорили про безпеку промислових IT-систем. Незалежний дослідник з Німеччини Максим Рупп знайшов (новость дослідження) серйозні проблеми в SCADA-системі компанії Honeywell. У контролерах XL Web II, що використовуються в тому числі у виробництві, енергетиці і в системах водопостачання, були виявлені п'ять вразливостей, включаючи зберігання паролів у відкритому вигляді. Більш того, використовуючи спеціальний запит до контролера, атакуючий може в будь-який час отримати актуальний пароль, він зберігається на клієнтській стороні. Наведений у дослідженні код говорить сам за себе:


Через параметри URL в систему передається маса команд і налаштувань, вони приймаються без перевірок: правильним запитом можна, наприклад, почати нову власну сесію, відключивши таким чином легітимного керівника пристроєм. Ця історія добре описує всі традиційні особливості IT-безпеки в промисловості. Для апдейта потрібно звернутися в місцевий підрозділ вендора, терміни закриття вразливостей великі (інформація була передана ще в серпні минулого року). Тим не менш, це непоганий приклад взаємодії вендорів SCADA-систем з безопасниками.

У реалізації протоколу SMBv3 в Windows знайшовся zero-day, Microsoft не кваплячись вирішує проблему
Новость.

Ця дивна історія почалася ще минулого тижня. Другого лютого дослідник Лорен Гаффі розкрив інформацію про уразливості в протоколі SMBv3. Зробив він це по-сучасному: написав твіт і виклав proof of concept на Гитхаб, таким чином організувавши Zero Day. За його словами, Microsoft отримала інформацію у вересні і планувала випустити патч в грудні, але потім вирішила відкласти випуск латки до кумулятивного патча в лютому. Уразливість дозволяє віддалено викликати відмову в обслуговуванні (=синій екран), і була кваліфікована як Microsoft несуча невеликий ризик.

SMBv3 0day, Windows 2012, 2016 affected, have fun :) Oh&if you understand this poc, bitching SDLC is appropriate :)https://t.co/xAsDOY54yl  Responder (@PythonResponder) February 1, 2017

Дійсно, в нормальної, здорової конфігурації, протокол SMB ніяк не повинен бути доступний віддалено. Питання в тому, навіщо дослідник так вчинив? Його аргументація: я роблю для них роботу безкоштовно, а вони замість того, щоб латати дірки, збирають їх. Аргументація так собі, якщо чесно: у вендора може бути тисяча причин закривати вразливість раніше або пізніше. Очевидним приводом поспішати є експлуатація дірки in-the-wild, але тут явно не той випадок. Так, іноді приводом для затримки є організаційні заморочки. Загалом-то це нормально, чи ні?

А що щодо low risk? Всі згодні з тим, що уразливість може викликати падіння системи, але не призводить до виконання довільного коду. Детальніше про уразливості і її експлуатації можна почитати у цьому звіті SANS Institute.

За мотивами даної уразливості стався ще один срач цікавий обмін репліками. У відповідь на запит журналістів про погрози, пов'язані з уразливістю, Microsoft відповіла приблизно таке: Windows краща платформа, ми регулярно закриваємо уразливості, а для кращого захисту рекомендуємо використовувати Windows 10 і Microsoft Edge.



Оглядач видання ArsTechnica Ден Гудін вибухнув з цього приводу їдкою статьей про те, що маркетинг на вразливості — це поганий маркетинг. Тим більше, що Windows 10 також схильна до даної проблеми. Додам, що в даному випадку те ж саме можна сказати і щодо дослідника: робити політичні заяви, паралельно розкриваючи деталі непропатченной вразливості — це не ок. Кібербезпека і так просочилася політикою, але ось уразливості напевно краще просто закривати. Без марлезонских балетів і смішних демотиваторів.

Oh wait…

Google Apps G Suite додали авторизацію по апаратним токенам
Новость. Посада в блозі Google.

В мужньої спробі занести на бровах прогресу хмарні сервіси у великі організації, компанія Google додала в сервіси G Suite, раніше відомі як Google Apps, можливість авторизації з апаратного ключа. Токен можна використовувати в системі двофакторної авторизації замість вже існуючої системи входу за кодом безпеки. Як і в аналогічному анонсі Facebook на минулого тижня, анонсується підтримка токенів в мобільних пристроях, по протоколу Bluetooth (детальніше статті техпідтримки Google).

31 січня Google оголосила про ряд нововведень G Suite, спрямованих на виконання вимог великих корпорацій до подібних сервісів. Майже всі вони, що не дивно, що стосуються безпеки. Зокрема це підтримка технологій Data Loss Prevention, доступ до логів сервісу, бекапи тощо. Це хороші новини для великих компаній: співробітники використовують хмарні сервіси часто не питаючи дозволу роботодавця. Можливість контролювати сервіс третьої сторони в теорії може забезпечити кращий захист.

Давнину
«V-572»

Резидентний нешкідливий вірус, стандартно вражає .EXE-файли при їх запуску на виконання. Ніяк не проявляється. Перехоплює int 21h.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 88.

Disclaimer: Ця колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.