Один из моих докладов на заседании MCP Клуба касался MS ForeFront Threat Management Gateway – наследника ISA сервера (доклад в чуть более вылизанном виде повторялся и на TechDays.ru). Часть этих докладов касалась, разумеется, и системы обнаружения и предотвращения атак NIS (Network Inspection System). Эта система может обнаруживать и блокировать вредоносный трафик, который пытается эксплуатировать какие-либо уязвимости операционных систем и приложений.
Плюс такого таких возможностей понятен сразу: если
- у Вас есть политика (надеюсь, что есть), запрещающая немедленную установку обновлений без тестирования
- уязвимость известна, а исправление еще не выпущено, а применение workaround или слишком трудоемко или невозможно по другим причинам
то TMG может блокировать атаки даже если нет ни патчей, ни других решений, способных снизить риски до приемлемых. До сих пор, однако, эта возможность была чисто теоретической – не было таких случаев. К сожалению, так долго продолжаться не могло, и первая такая сигнатура вышла сегодня. Выход Microsoft Security Advisory 975497 поведал нам об уязвимости протокола SMBv2, для которой на данный момент нет исправлений. Есть различные действия, предназначенные для уменьшения риска или для выключения протокола, в котором обнаружена ошибка, но, увы, это не может устроить всех и всегда. И вот тут могла бы вступить в бой та самая сигнатура, по которой TMG пресекает течение вредоносного трафика. Она, на самом деле и вступила, только мало кто использует TMG для разграничения трафика внутри своей сети, а северам, которые доступны из интернет такая атака не страшна, так как мало кто отважится выставить в Интернет серверы с включенным или не закрытым наглухо SMB.
Впрочем, даже такой proof-of-concept весьма и весьма приятен – фича-то работает ;)
2 комментария:
Отправить комментарий