Zdroj: rôzne/incident.sk
Koniec podpory
Včerajší deň bol výnimočný hneď z dvoch dôvodov. Prvý bol ten, že 14.1.2020 skončila rozšírená podpora pre operačné systémy Windows 7, Windows Server 2008 a 2008 R2. Znamená to, že už nebudú verejne dostupné bezpečnostné aktualizácie pre nové chyby. Bude sa ešte dať zakúpiť podpora priamo od firmy Microsoft, ale nebude to lacné. Ak si nainštalujete nepodporovaný operačný systém dnes, tak všetky aktualizácie uverejnené do včera sa vám samozrejme stiahnu. Ak používate uvedené systémy, je potrebné ich aktualizovať na novšiu podporovanú verziu operačného systému.
CVE-2020-0601
Druhý dôvod výnimočnosti včerajšieho dňa bola diskutovaná chyba, ktorá dostala označenie CVE-2020-0601. Všetko začalo tweetom Willa Dormanna z 13.1.2020, ktorý pracuje ako analytik zraniteľností pre CERT/CC. V ňom tajomne upozorňoval na dôležitosť aktualizácii Windows v utorok 14.1.2020.
Neskôr sa pridal Brian Krebs so svojim článkom, kde pridal informáciu o možnom probléme s Microsoft CryptoAPI. Úroveň očakávania sa zdvihla, keď na ten istý deň ohlásila americká NSA dôležité oznámenie. Začalo sa vo veľkom špekulovať o tom, aká vážna je chyba a či s tým má NSA niečo spoločné. Má. NSA sa včera historicky prvýkrát priznala k oficiálnemu oznámeniu chyby. V Microsoft dokumente o chybe je NSA uvedená ako oznamovateľ.
Začnime základnými informáciami. Chyba sa týka Windows 10, Windows Server 2016 a Windows Server 2019. Základný popis je, že vo Windows CryptoAPI (Crypt32.dll) existuje zraniteľnosť, ktorá umožňuje oklamať kontrolu validity Elliptic Curve Cryptography (ECC) certifikátov. Jednoducho povedané, podhodíte falošný certifikát s krivkami a systém ho zvaliduje ako platný.
Microsoft oznámenie je trochu strohé, ale NSA vydala vlastné oznámenie. Z neho je už viac jasné, prečo je táto chyba kritická. Umožňuje totiž narušiť dôveru HTTPS komunikácie, ovplyvňuje dôveru v podpísané súbory a emaily a umožňuje spúšťať aplikácie podpísané falošným certifikátom ako dôveryhodné. Citujem NSA: „sofistikovaní kyber útočníci pochopia podstatu chyby veľmi rýchlo“. Včera sa hneď rozprúdila diskusia ako vážna je táto chyba a prečo ju NSA oznámila firme Microsoft. Incident sledoval reakcie na službe Twitter naživo, aby ste vy nemuseli :o).
Ako vidno z reakcií, tak to bol mix. Od aktualizujte radšej to čo máte deravé už mesiace (Citrix, VPN brány a pod.), až po vyjadrenie, že ide o veľa. Nakoniec som sa priklonil k názoru, ktorý uverejnil Rob Joyce, ktorý pracuje ako senior poradca riaditeľa NSA. Táto chyba od základov narušuje to, ako Windows kryptograficky verifikuje dôveru.
Napriek všetkému ide o závažnú chybu a mali by ste aplikovať aktualizácie. Aktualizácie vychádzajú v utorok, ale u nás sú dostupné až po 19:00, keďže USA sú časovo pozadu voči Slovensku. Väčšina uvidí aktualizácie dnes, nezabudnite na to, že vás zdržia pri odchode z práce :o). Ak stále máte vo svojej sieti nepodporované operačné systémy, mali by ste vypracovať plán čo s nimi. Ako dočasné riešenie ich odporúčam dať do samostatného segmentu.
Obrázok: „Microsoft Corporation Office – Tempe, Arizona“ by Tony Webster, used under CC BY 2.0
