Клиенты Microsoft, использующие виртуальные машины Linux в облаке Azure компании, должны действовать как можно скорее и исправлять ряд опасных дыр в безопасности. Вопреки всем ожиданиям Microsoft не сделает этого сама. Принимая во внимание опасность для своих клиентов, компания делает на удивление мало, чтобы защитить их в этом случае.
Атаки очень легкие
На этой неделе в рамках своего ежемесячного Patch Day Microsoft устранила проблемы с программным обеспечением Open Management Infrastructure (OMI), которое, помимо прочего, установлено на виртуальных машинах Linux в облаке Azure, чтобы взять на себя функции управления. Проблемы с OMI можно отнести к четырем уязвимостям, которые компания Wiz обнаружила в программном обеспечении. Они позволяют пользователю, который не вошел в систему, выполнять любой вредоносный код с правами root на затронутой виртуальной машине. Все, что нужно злоумышленнику, — это доступ к виртуальной машине из публичной сети. Исследователи безопасности из Wiz назвали эти лазейки OMIGOD, вероятно, потому, что это именно то, о чем вы говорите, когда понимаете, насколько невероятно легко использовать лазейки.
Ситуация с безопасностью также усугубляется тем фактом, что OMI — это не программное обеспечение, с которым администраторы Linux знакомы, поскольку это специфическое явление Microsoft в среде Azure. Оставшись сам по себе, администратор виртуальной машины Linux, скорее всего, даже не узнает, что OMI используется, потому что служба незаметно устанавливается на виртуальной машине, когда несколько служб Azure для автоматических обновлений, анализа журналов или функций настройки и диагностики активирован. Служба обычно устанавливается с новыми виртуальными машинами, если эти функции также настраиваются во время установки.
Таблица ужасов
Теперь возникает вопрос, почему Microsoft не исправила проблему автоматически в рамках своих исправлений в день исправления, поскольку она также автоматически установила службу OMI, не спрашивая клиента. В конце концов, главный рекламный аргумент в пользу облачных сервисов, в том числе и в Microsoft, заключается в том, что пользователю нужно как можно меньше беспокоиться. Обычно облачные провайдеры незаметно устраняют такие уязвимости еще до того, как они станут общедоступными. Заказчику не нужно ни о чем беспокоиться, а его системы более безопасны, чем если бы он сам принимал меры и устанавливал исправления, поскольку облачный провайдер может сделать это намного быстрее и эффективнее для всех систем одновременно.
Очевидно, Microsoft видит это иначе. В его актуальная информация о пробелах в OMIGOD Компания рекомендует своим клиентам самостоятельно устанавливать соответствующие обновления, как только они станут доступны. Компания предоставляет четкую таблицу — Microsoft любит таблицы — с отдельными компонентами OMI, где их можно найти и когда можно ожидать исправления.
Однако Microsoft не отформатировала таблицу таким образом, чтобы веб-браузеры могли правильно ее отображать. На первый взгляд, а также на второй взгляд, колонка с исправлениями не видна. Только когда вы обнаруживаете горизонтальную полосу прокрутки в самом конце таблицы, становится ясно, что действительно важная информация скрывается справа за видимой областью таблицы. Кстати, даже сверхширокий экран тут ни к чему, проблема в макете сайта Microsoft. Ведь в какой-то момент после первой публикации заметок над таблицей заметка на полосе прокрутки была добавлена в конец таблицы.
Всестороннее беззаботное облако другое
В таблице перечислены 13 конкретных проблем, связанных с уязвимостями OMIGOD. Microsoft заявляет, что исправит шесть из них автоматически. Однако администратор затронутых виртуальных машин Linux должен сам позаботиться о семи дополнительных пробелах. Таким образом, пользователи должны сами выяснить, используют ли их системы последнюю версию программного обеспечения OMI и не были ли их виртуальные машины уже атакованы и скомпрометированы через дыры. Что еще хуже, даже после того, как обновления были выпущены в день исправлений, Microsoft, по-видимому, по-прежнему установила уязвимые службы OMI на виртуальных машинах Linux, если они были настроены снова. Для такой компании, как Microsoft, работа с такой критически важной лазейкой, связанной с удаленным выполнением кода, вызывает затруднения. Клиенты, которые рассчитывают на всестороннее беззаботное облако, остаются в беде с серьезным недостатком безопасности в программном обеспечении, которое они явно не хотели устанавливать.
К счастью, похоже, что не было никаких массовых атак, подобных уязвимости Microsoft Exchange в начале этого года. Охранная компания Censys имеет во время расследования найдено всего несколько десятков уязвимых серверов — вероятно, потому, что только некоторые из затронутых виртуальных машин общедоступны в Интернете. Тем не менее, необходимо как можно скорее исправить уязвимые системы. Эксплуатация уязвимостей OMIGOD настолько проста, а результат настолько очевиден (root-доступ), что вскоре злоумышленники найдут уязвимые системы и нацелятся на них. Проверочный код атаки на уязвимости Heise Security уже раньше.
(потрясающе)
