Názory k článku
IT systémy Prahy a dalších státních úřadů byly napadeny kybernetickým útokem
-
Tak tímhle průšvihem MS překonal svůj neoficiální rekord z roku 2012, kdy byla kompromitována infrastruktura pro podepisování (viz Flame malware).
Na aktuální problém bylo zaděláno mnohem, mnohem dřív. Na rozdíl od prvních verzí Exchange (do 5.5), kde všechno běželo pod konkrétním servisním účtem, který ani nemusel mít administrátorská práva, se od verze 2000 většina kódu přesunula do procesů běžících v kontextu LocalSystem (vyšší oprávnění v user mode už není), a to včetně identity exchangových app poolů v IIS! V kombinaci se zpracováváním dat z nedůvěryhodných zdrojů pak stačí jediná zranitelnost, umožňující buď přímo RCE nebo alespoň zápis souborů, ke kompletnímu ovládnutí nejen serverové aplikace, ale i operačního systému pod ní.
Vzpomněl jsem si na výbornou knížku z MS Pressu, která nese název Writing secure code (2. vydání, 2002) a v tiráži cituje Billa Gatese: "Required reading at Microsoft." A samozřejmě, že "principle of least privilege" tato kniha probírá. Jen se tato povinná četba zjevně minula účinkem.
Druhým selháním MS je v tomto případě časová osa - 6.1. první detekovaný útok, 2.3. publikování informací o zranitelnosti a opravy (el. podpis na balíčku s opravou má časové razítko 15.2.). V mezidobí se neobjevilo jediné varování a doporučení, co zavřít, než bude oprava venku.
7. 3. 2021, 10:26 editováno autorem komentáře
ČLÁNKY DO MAILU