Non classé

Une erreur "Wormable" CVE-2020-1350 dans Microsoft Windows Server pourrait provoquer des problèmes majeurs pour ICS / OT World – Bien monter son serveur

Le 15 juillet 2020 - 6 minutes de lecture

[bzkshopping keyword= »Minecraft » count= »8″ template= »grid »]

L'impact de la récente exploitation critique de Microsoft pourrait être problématique pour le monde ICS / OT. CVE-2020-1350, devient une erreur dite "vermifuge", ce qui signifie qu'elle peut transférer de système à système par elle-même. Pas d'e-mails, pas d'interaction utilisateur, juste du bon vieux TCP / IP, bien en fait DNS dans ce cas. Cela affecte chaque système d'exploitation Windows Server à 2003, qui n'a pas été mis à jour. 2008 R2 nécessitera un accord de support étendu. Il fonctionne en ayant un message DNS spécialement conçu pour exécuter du code arbitraire sur le système cible.

Ne me croyez pas sur parole, pour citer Microsoft lui-même, «nous considérons qu'il s'agit d'une vulnérabilité de ver, ce qui signifie qu'elle a le potentiel de se propager via des logiciels malveillants entre des ordinateurs vulnérables sans interaction de l'utilisateur». Ils ont en outre souligné le risque important comme suit: "DNS est un composant réseau de base et souvent installé sur les contrôleurs de domaine, donc un compromis peut conduire à des pannes de service importantes et à un compromis de compte de domaine de haut niveau."

Pourquoi est-ce si important pour les systèmes de gestion? Parce que malgré de nombreuses années de bonnes pratiques qui disent que vous devez déplacer DNS des contrôleurs de domaine, de nombreux systèmes ICS sont livrés de cette façon. La plupart des systèmes de contrôle sont de petits îlots Active Directory indépendants, souvent construits sans tenir compte des normes telles que les benchmarks CIS. Cela signifie que DNS est activé par défaut et est largement utilisé par tous les ordinateurs du réseau. Cela comprend souvent l'identification du système de contrôle lui-même. Pour aggraver les choses, il est parfois utilisé comme authentification pour les pare-feu, ce qui en fait une situation potentielle à haut risque et à fort impact.

Mais nous avons des pare-feu, pourrait-on dire. Ce sera bien jusqu'à ce que nous puissions patcher dans 12-24 mois. Saviez-vous que bon nombre de ces pare-feu sont configurés pour autoriser le DNS? Vous espérez que ce ne sont que pour les demandes de retour et uniquement à partir de serveurs approuvés, mais j'ai tout vu. Port 53 Tout, tout existe.

Je dirais également que bien que cela puisse aider à freiner à l'extérieur, peu de gens ont commencé, et encore moins terminé, leurs projets de segmentation, de sorte que les ordinateurs portables de comptabilité ou d'ingénierie pourraient tout aussi bien être la voie d'attaque qui fait tomber un système. Aucun pare-feu ne pourra arrêter la requête DNS malveillante.

OK, je veux juste faire un arrêt d'urgence et patcher. C'est bien, mais est-ce approuvé? Savez-vous que cela ne détruira pas le système? Et êtes-vous même soutenu? Il n'est pas rare de voir Server 2003 et Server 2008 sur le marché, et ils n'obtiennent pas de correctif ou nécessitent un contrat de support étendu très coûteux avec Microsoft ou auprès de qui vous obtenez vos correctifs. De nombreux fournisseurs ne prennent même pas en charge les dernières versions, sauf si vous avez un accord de maintenance avec eux.

Alors que peux-tu faire?

Il y a vraiment deux chemins parallèles principaux que je prendrais. Et l'application de correctifs n'est la première étape d'aucune d'entre elles, car ce n'est pas ainsi que les systèmes ICS fonctionnent.

Une route est quelque chose que vous devez faire de toute façon. Assurez-vous d'obtenir des flux de qualité pour IDS / IPS et d'autres systèmes de prévention des logiciels malveillants. Assurez-vous de comprendre certains des CIO connus et restez à l'écoute pour eux. Il s'agit d'un chemin, et n'a principalement pas besoin de beaucoup d'aide de vos équipes ICS / OT. Espérons que cela vous fera gagner du temps pour repérer le pire sur Internet de vous frapper.

L'autre façon est de vous armer de connaissances de qualité pour former une réponse intelligente basée sur des faits.

Tout d'abord, obtenez un inventaire solide qui vous indiquera tous les serveurs Windows dont vous disposez qui sont affectés. J'espère que vous disposez d'un système de gestion des actifs ICS qui vous indiquera tous les serveurs Windows que vous avez, et plus important encore quelle version, quelles mises à jour sont installées et lesquelles sont manquantes, et si les hôtes exécutent des services DNS. Un autre critère que je veux connaître est le statut du pare-feu Windows et les règles qui sont en place pour limiter le niveau de l'hôte. Cela vous donnera la liste des ressources dont vous avez besoin pour hiérarchiser et encercler vos troupes. Points bonus si vous pouvez configurer cela pour vous informer des changements de ces conditions, particulièrement négatives.

L'étape suivante consiste à voir si le système de gestion des actifs et de la configuration peut extraire la configuration de votre pare-feu et vous dire exactement comment vos services DNS sont gérés par le pare-feu. Encore une fois, c'est génial si vous pouvez configurer et surveiller les changements, surtout après avoir réparé certains trous.

Avec ces données, vous pouvez maintenant vous asseoir et répondre correctement. Vous pouvez vous concentrer sur les plus vulnérables et déterminer la meilleure ligne de conduite dans votre entreprise. Vous pouvez décider où et comment vous souhaitez répondre à chaque cas.

En tant qu'ancien propriétaire et ancien chef de produit OEM pour la cybersécurité, je peux vous dire que c'est soit un exercice de quelques minutes à quelques heures, soit quelques semaines, et qu'il n'y a pas beaucoup d'espace. Si vous n'avez pas investi dans un système de gestion de la qualité et de gestion de la configuration avec des rapports de qualité et / ou une intégration avec des outils de rapport de données, vous êtes probablement dans ce dernier camp.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.