Group Policy Client Privilege Elevation

Recommendation: Install Microsoft October Security Updates

19/10/2020
CVE
חשיבות
מושפעים מרכזיים
Windows Server 2008 and above, windows 7 SP1 and above

המלצה:

להתקין את עדכוני האבטחה של חודש אוקטובר על כלל התחנות והשרתים כאשר עמדות הקצה הינן יעד יותר קל לניצול מאשר השרתים.

מידע כללי והרחבות:

בתאריך 13.10.2020 פרסמה Microsoft חולשה אשר היא זיהתה, כרגע לא ידוע על כלים אשר יודעים לממש את החולשה/מימשו את החולשה.

החולשה נמצאת במנגון ה-group policy בתחנות היעד "Group Policy Client" אשר מאפשר לבצע privilege elevation מרמת הרשאות של משתמש חלש (ללא הרשאות אדמין) להרצת תהליך עם הרשאות גבוהות ומשם להשיג שליטה מלאה למערכת.

החולשה היא בדיקה לא מספקת של מנגון בקרת הגישה ב-Group policy client.

חוות דעת אישית:

סביר להניח שלחולשה זאת ייצרו כלים אשר יודעים לנצל אותה בקרוב, על כן כדאי להתחיל בתהליך התקנת עדכונים בארגון שלכם.

ככלל אנחנו ממליצים לא להסתכל רק על חולשות עם ברמת חומרה גבוהה, החומרה היא שילוב של היכולת לממש את הפריצה, הקלות שלה ומה ניתן להשיג בעזרתה, אך חשוב להבין שגם חולשה שכיום לא קיימת תוכנה אשר יודעת להשתמש בה מנת לפרוץ יכול להיות שבעוד שעה, שבוע, חודש תוכנה כזאת תיווצר, אך העדכון עם רמת החומרה שלו כבר נשלח והתייחסות אליו כנמוך.

לכן הלוגיקה הבאה הינה המומלצת על ידינו לעדכוני תוכנה:

עמדות קצה:
מעגלי עדכון – עדכון בגלים לפי קבוצות משתמשים.
החלת העדכונים על אנשי ה-IT ומשתמשים מובילים למשך יום עד יומיים.
בהיעדר פידבק שלילי הפצת העדכון לכלל העובדים למעט VIP.
הפצה ל-VIP לאחר כיומיים ללא פידבק שלילי .

שרתים:
Domain Controllers ותשתיות Microsoft:
נעדכן את השרתים באופן מיידי, לאחר קריאת ה-KB-ים הרלוונטים על מנת לוודא שאין השפעות על התשתיות.
ההמלצה להחלה מיידית היא כיוון ש-Microsoft מבצעים בדיקות על המוצרים שלהם עבור ה-KB-ים אותם הם משחררים (אם כי באופן חלקי אך מספק) התייחסות ספציפית לשרתים מסוג Domain Controller – זהו השרת החשוב ביותר בסביבה, אנחנו נרצה שהוא יהיה בתצורה המאובטחת ביותר שלו, הסיכון תקלה טכנית הוא קטן ביותר ופגיעה אבטחתית בעזרת ניצול של חולשה הרבה יותר הרסני.

שרתי אפליקציה פיתוח עצמי/כלים נוספים:
עבור שרתי אפליקציה נעדיף הקמת מעגלי עדכון כאשר אם אנו עובדים עם אפליקציות N-tier אנחנו נצרה לייצר קבוצה ראשונה עם 1 מכל tier, לראות שהעדכון עובד בהצלחה ("פתיחת ציר" לשרתים) ולאחר מכן להמשיך באופן הדרגתי לכל שרת.
העדיפות כמובן לייצר תהליך ממוכן, זה אומנם קשה באופן יחסי למיכון, אך להתמודד עם ransomware קצת יותר קשה.

מקור פרסום החולשה:

Zero Day Initiative
נכתב ע״י Dima Shaposhnikov

פוסטים נוספים

30/11/2020
VMware Vulnerabilities

חברת VMware הינה בין חברות הוירטואליזציה הגדולות בעולם. בתקופה האחרונה אנו למדים על חולשות רבות במוצריה השונים בעלי חומרה קריטית אחר יכולות לפגוע בארגון, בפעילות העסקית שלו ואף באמינותו. חברת VMware שיחררה פתרונות "יצירתיים"
ו-Patches מתאימים לצורך מיגור החולשות.
במאמר זה נתרכז בשני CVEs שונים אשר מהווים חולשות קריטיות שפורסמו בחודש האחרון.

17/11/2020
Microsoft November 2020 - fix for Windows zero-day

מיקרוסופט הפיצה השבוע את העדכון אבטחה החודשי CVE-2020-17807 אשר נועד לתקן פרצות אבטחה אשר נתגלו מאז העדכונים האחרונים.

חלק מפרצות האבטחה נתגלו ע"י חוקרי גוגל מפרויקט Zero-Days Google וחלקם מקושרות לפוגעניות אשר היו קיימות בדפדפן כרום ובמקביל במערכות הפעלה Windows OS הן למחשבים והן לשרתים.

09/11/2020
Security Default Feature

עוברים לשימוש בשירותיAzure AD כספק הזהויות בענן?
הוסיפו הגדרות Security Defaults כבסיס אבטחתי ראשוני לפני הוספת שאר יכולות האבטחה ב- Azure!

מנף את העסק שלך בזמן שאתה מגן על הדברים החשובים

בוא נדבר על מערך האבטחה שלך
הירשם לניוזלטר
נשלח לך מייל שבועי שיעזור לך לשפר רמת האבטחה שלך, ומדי פעם גם קצת תקשורת שיווקית, בהתאם למדיניות הפרטיות שלנו.
lockplusunlockunlock-altcopyrightcross linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram