Writy.
  • Дом
  • последние новости
No Result
View All Result
Writy.
  • Дом
  • последние новости
No Result
View All Result
Writy.
No Result
View All Result
OMIGOD: Microsoft оставляет администраторам Azure только лазейку с Linux - Market Research Telecast

OMIGOD: Microsoft оставляет администраторам Azure только лазейку с Linux — Kuster

Natasha Zaytseva by Natasha Zaytseva
17 сентября, 2021
in последние новости
0
Share on FacebookShare on Twitter

You might also like

German military suspends Mali mission

Немецкие военные приостанавливают миссию в Мали — телепередача об исследованиях рынка

12 августа, 2022
Gold

Золото показывает свой четвертый недельный рост подряд благодаря слабости доллара – Kuster

12 августа, 2022

Клиенты Microsoft, использующие виртуальные машины Linux в облаке Azure компании, должны действовать как можно скорее и исправлять ряд опасных дыр в безопасности. Вопреки всем ожиданиям Microsoft не сделает этого сама. Принимая во внимание опасность для своих клиентов, компания делает на удивление мало, чтобы защитить их в этом случае.

Атаки очень легкие

На этой неделе в рамках своего ежемесячного Patch Day Microsoft устранила проблемы с программным обеспечением Open Management Infrastructure (OMI), которое, помимо прочего, установлено на виртуальных машинах Linux в облаке Azure, чтобы взять на себя функции управления. Проблемы с OMI можно отнести к четырем уязвимостям, которые компания Wiz обнаружила в программном обеспечении. Они позволяют пользователю, который не вошел в систему, выполнять любой вредоносный код с правами root на затронутой виртуальной машине. Все, что нужно злоумышленнику, — это доступ к виртуальной машине из публичной сети. Исследователи безопасности из Wiz назвали эти лазейки OMIGOD, вероятно, потому, что это именно то, о чем вы говорите, когда понимаете, насколько невероятно легко использовать лазейки.

Ситуация с безопасностью также усугубляется тем фактом, что OMI — это не программное обеспечение, с которым администраторы Linux знакомы, поскольку это специфическое явление Microsoft в среде Azure. Оставшись сам по себе, администратор виртуальной машины Linux, скорее всего, даже не узнает, что OMI используется, потому что служба незаметно устанавливается на виртуальной машине, когда несколько служб Azure для автоматических обновлений, анализа журналов или функций настройки и диагностики активирован. Служба обычно устанавливается с новыми виртуальными машинами, если эти функции также настраиваются во время установки.

Таблица ужасов

Теперь возникает вопрос, почему Microsoft не исправила проблему автоматически в рамках своих исправлений в день исправления, поскольку она также автоматически установила службу OMI, не спрашивая клиента. В конце концов, главный рекламный аргумент в пользу облачных сервисов, в том числе и в Microsoft, заключается в том, что пользователю нужно как можно меньше беспокоиться. Обычно облачные провайдеры незаметно устраняют такие уязвимости еще до того, как они станут общедоступными. Заказчику не нужно ни о чем беспокоиться, а его системы более безопасны, чем если бы он сам принимал меры и устанавливал исправления, поскольку облачный провайдер может сделать это намного быстрее и эффективнее для всех систем одновременно.

Очевидно, Microsoft видит это иначе. В его актуальная информация о пробелах в OMIGOD Компания рекомендует своим клиентам самостоятельно устанавливать соответствующие обновления, как только они станут доступны. Компания предоставляет четкую таблицу — Microsoft любит таблицы — с отдельными компонентами OMI, где их можно найти и когда можно ожидать исправления.

Однако Microsoft не отформатировала таблицу таким образом, чтобы веб-браузеры могли правильно ее отображать. На первый взгляд, а также на второй взгляд, колонка с исправлениями не видна. Только когда вы обнаруживаете горизонтальную полосу прокрутки в самом конце таблицы, становится ясно, что действительно важная информация скрывается справа за видимой областью таблицы. Кстати, даже сверхширокий экран тут ни к чему, проблема в макете сайта Microsoft. Ведь в какой-то момент после первой публикации заметок над таблицей заметка на полосе прокрутки была добавлена ​​в конец таблицы.

Всестороннее беззаботное облако другое

В таблице перечислены 13 конкретных проблем, связанных с уязвимостями OMIGOD. Microsoft заявляет, что исправит шесть из них автоматически. Однако администратор затронутых виртуальных машин Linux должен сам позаботиться о семи дополнительных пробелах. Таким образом, пользователи должны сами выяснить, используют ли их системы последнюю версию программного обеспечения OMI и не были ли их виртуальные машины уже атакованы и скомпрометированы через дыры. Что еще хуже, даже после того, как обновления были выпущены в день исправлений, Microsoft, по-видимому, по-прежнему установила уязвимые службы OMI на виртуальных машинах Linux, если они были настроены снова. Для такой компании, как Microsoft, работа с такой критически важной лазейкой, связанной с удаленным выполнением кода, вызывает затруднения. Клиенты, которые рассчитывают на всестороннее беззаботное облако, остаются в беде с серьезным недостатком безопасности в программном обеспечении, которое они явно не хотели устанавливать.

К счастью, похоже, что не было никаких массовых атак, подобных уязвимости Microsoft Exchange в начале этого года. Охранная компания Censys имеет во время расследования найдено всего несколько десятков уязвимых серверов — вероятно, потому, что только некоторые из затронутых виртуальных машин общедоступны в Интернете. Тем не менее, необходимо как можно скорее исправить уязвимые системы. Эксплуатация уязвимостей OMIGOD настолько проста, а результат настолько очевиден (root-доступ), что вскоре злоумышленники найдут уязвимые системы и нацелятся на них. Проверочный код атаки на уязвимости Heise Security уже раньше.


(потрясающе)

Tags: AzureKusterLinuxMicrosoftOMIGODадминистраторамлазейкуоставляеттолько
Natasha Zaytseva

Natasha Zaytseva

Related Stories

German military suspends Mali mission

Немецкие военные приостанавливают миссию в Мали — телепередача об исследованиях рынка

by Natasha Zaytseva
12 августа, 2022
0

Правительство Германии объявило в пятницу о приостановке своего военного развертывания мира в Мали, меры, которая будет применяться до дальнейшего уведомления...

Gold

Золото показывает свой четвертый недельный рост подряд благодаря слабости доллара – Kuster

by Natasha Zaytseva
12 августа, 2022
0

Цены на золото снизились в пятницу, но по-прежнему сохраняли тенденцию к недельному росту, поскольку общая слабость доллара компенсировала давление со...

Copper

Медь прибавила 3,5% за неделю из-за сильного аппетита к рисковым активам — Kuster

by Natasha Zaytseva
12 августа, 2022
0

Цены на медь упали в пятницу, но должны были закрыть неделю ростом на 3,5 процента, так как ставки на то,...

Crude oil

Цены на сырую нефть движутся к недельному росту, но неопределенность прогнозов сдерживает рост – Kuster

by Natasha Zaytseva
12 августа, 2022
0

Цены на нефть упали в пятницу, так как опасения рецессии ослабили перспективы спроса, хотя они все еще находились на пути...

Next Post
Ice

Горючий лед или легковоспламеняющийся лед: будущее энергетики? - Телетрансляция маркетинговых исследований

Добавить комментарий Отменить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *

  • О нас
  • DMCA

© Кустер 2021. Все права защищены.

No Result
View All Result
  • Дом
  • последние новости

© Кустер 2021. Все права защищены.