Введение
В майское обновление Microsoft 2021 года вошло 55 уязвимостей, включая критическую уязвимость нулевого дня CVE-2021-31166, связанную с удаленным выполнением кода в стеке протокола HTTP. Патч исправляет ошибку, из-за которой злоумышленник без аутентификации мог удаленно выполнять код, просто отправив специально созданный пакет данных на сервер с уязвимостью. Именно из-за этого ошибка может распространяться от жертвы к жертве, как червь.
Установка обновлений безопасности — одна из самых сложных задач для ИТ-организации любого масштаба. Даже после завершения установки, нет гарантий, что все машины были запущены на момент развертывания обновлений. Это подвергает риску не только их, но и всю сеть.
Чтобы быстро снизить риск и устранить уязвимость CVE-20121-31166, разделите машины на 3 группы и обновляйте их по степени критичности:
1. Сперва обновите машины с самым высоким уровнем риска – те, которые не обновлялись и имеют открытый доступ в Интернет.
2. Заблокируйте порт 443 для необновленных машин, которые его не используют. Эта группа довольно большая, и ее можно обновить позже.
3. Установите патч на машины, которые не обновлялись, используют порт 443, но не имеют выхода в интернет. Это поможет ИБ-командам сосредоточиться на обновлении не десятков тысяч серверов, а несколько сотен или даже меньше, при этом полностью контролировать риски и уязвимости.
Как решить проблему быстрее, чем за час
Используйте три основные возможности Guardicore: Insight для отправки запросов на конечные точки и серверы, Reveal для отображения карты взаимосвязей и Policy для устранения угрозы при помощи политик сегментации.
Сначала нужно разобраться с машинами, наиболее подверженными риску: необновленными, с доступом в Интернет (через порт 443)
1. Используя Guardicore Insight, введите простой SQL-запрос для нахождения необновленных машин, уязвимых к KB5003173 (CVE-2121-31166):
Выполните запрос с помощью Guardicore Insight
Вам вернется список необновленных машин за несколько секунд:
Список машин, требующих обновления
2. Добавьте лейбл к необновленным машинам: в приведенном примере используется лейбл KB5003173:Yes.
Примечание: запрос и маркировку можно сделать периодическими, тогда при появлении новых машин, требующих обновление, они будут автоматически маркироваться.
3. Используйте Reveal для создания карты и отсортируйте отображенные серверы по лейблу, который вы только что создали, а также по наличию доступа в Интернет (через порт 443). Наибольшему риску подвержены машины, которые не обновлялись и имеют открытый доступ в Интернет:
Сортировка по наличию входящего Интернет-соединения
Сортировка по метке
Затем следует разобраться с необновленными машинами, которые не используют порт 443
Убедившись в отсутствии машин с высоким риском – необновленных и с доступом в Интернет – приступайте ко второй группе машин.
1. Сначала необходимо определить машины без обновлений, которые не используют порт 443. Заблокируйте для них этот порт, чтобы устранить риск, а затем установите патч. Для этого снова отсортируйте сервера на карте по признаку NOT Destination Port 443 и пометьте их как NotUsing443.
2. Затем добавьте простое правило Override Block, как показано ниже:
Единая политика блокирует доступ к порту 443 для машин, которые не использовали его изначально
Наконец, установите патч на уязвимые необновленные машины, которые используют порт 443, но не выходят в Интернет
Установите патч на машины, которые используют порт 443, но являются внутренними (не выходят в Интернет). Когда все машины обновятся, можно удалить метки и правила.
Вывод
Благодаря такому поэтапному подходу к установке патчей с помощью Guardicore Centra можно просто и эффективно решить серьезную проблему безопасности с учетом всех рисков.
Закажите демо и тестирование Guardicore
Хотите узнать больше? Закажите демо и тестирование Guardicore по ссылке ниже.
