Nếu tình cờ theo dõi hiện trường bảo mật, bạn hẳn đã nhận thấy rất nhiều tin đồn xung quanh các vấn đề bảo mật khác nhau được phát hiện trong tháng này. Cụ thể, một lỗ hổng nghiêm trọng trong Cấu phần đồ họa của Microsoft, như được nêu trong bản tin MS16-039, các câu chuyện và tin đồn xung quanh một thứ gọi là lỗi Badlock và các rủi ro liên quan đến việc sử dụng các tiện ích bổ sung của Firefox. Tất cả đều tốt và tốt, ngoại trừ việc nó không có gì khác hơn là sự cường điệu về clickbait vô nghĩa.
Đọc các bài báo khiến tôi tức giận đến mức tôi phải đợi một hoặc hai ngày trước khi viết bài này. Nếu không, nó sẽ chỉ là nọc độc và những lời tục tĩu. Nhưng điều quan trọng là phải thể hiện bản thân và bảo vệ người dùng Internet khỏi dòng thông tin vô nghĩa, nghiệp dư, giật gân muốn trở thành tin tặc bảo mật đã được sản xuất trong tháng này. Theo tôi.
Tất cả Ragnarok của bạn đều thuộc về chúng tôi.
Noscript và tiện ích bổ sung khác mở ra hàng triệu cuộc tấn công mới
Tôi sẽ không liên kết đến bài viết được đề cập để không hướng lưu lượng truy cập đến thứ chỉ có thể được mô tả là lễ hội dê kỹ thuật số. Về bản chất, bài báo cho chúng ta biết rằng, bởi vì tất cả các tiện ích bổ sung của Firefox chia sẻ cùng một không gian tên, tức là không cách ly bộ nhớ, nên một tiện ích bổ sung độc hại tiềm ẩn có thể rình mò các tiện ích bổ sung khác. Đó là câu chuyện. Noscript, một tiện ích bổ sung cực kỳ hữu ích và quan trọng cung cấp khả năng bảo mật cực kỳ hiệu quả cho người dùng Firefox, đã được chọn ra trong bài viết này để tạo cho nó một sự mỉa mai.
Hoàn toàn vô nghĩa.
Vấn đề là, tất nhiên, ngoài việc thúc đẩy lưu lượng truy cập, và không có gì tạo ra và tạo ra lượt xem trang như nỗi sợ hãi tốt đẹp, bài báo không cung cấp một mẩu thông tin hữu ích, có thể hành động nào cho người đọc. Vì sự cố được đánh dấu chỉ có thể trở thành sự cố nếu người dùng tự cài đặt tiện ích bổ sung độc hại. Vâng đúng vậy. Bạn có thể bị nhiễm bệnh nếu bạn lây nhiễm cho chính mình. Chết tiệt, Sherlock. Bây giờ, làm thế nào điều này có thể xảy ra:
Bạn tự cài đặt một tiện ích bổ sung chưa được ký. Hãy tự điện giật mình.
Bạn cài đặt một tiện ích bổ sung từ kho lưu trữ Mozilla, sau khi nó đã được sàng lọc, kiểm tra và ký điện tử. Nói cách khác, nếu các máy chủ tiện ích bổ sung bị tấn công, người dùng sẽ gặp vấn đề lớn hơn nhiều so với tiện ích mở rộng nhắm mục tiêu vào các tiện ích mở rộng khác.
Sau đó, có giá trị của một cuộc tấn công như vậy. Nếu bạn có thể có quyền truy cập đặc quyền vào hệ thống, thì việc nghe trộm các tiện ích mở rộng khác là điều ít hữu ích nhất mà bạn có thể làm. Nó giống như nghe lén điện thoại của ai đó rồi trốn dưới gầm giường, nghe cuộc gọi. Hoặc một số tương tự như vậy. Ai quan tâm.
Nói cách khác, vấn đề bảo mật có thể xảy ra này hoàn toàn không phải là vấn đề. Nó đòi hỏi sự tương tác tích cực, có chủ ý từ người dùng muốn làm hỏng hệ thống của họ. Đối với vấn đề đó, bạn chỉ có thể lây nhiễm cho máy của mình bất kỳ phần mềm độc hại nào. Bạn biết những gì khác có một không gian tên duy nhất? hạt nhân của bạn.
Bản tin Microsoft MS16-039
Đây là một điều thú vị. 20 kết quả hàng đầu cho mục cụ thể này đều có một điểm chung - sao chép từng từ của lời khuyên thực tế, mà không cung cấp một ý kiến ban đầu hoặc nhận xét có giá trị nào. Nếu đó là báo chí, tôi là Shakespeare.
Trong số 20 trang web này, chỉ có một nguồn duy nhất đề cập đến EMET, khung giảm thiểu cực kỳ hữu ích và quan trọng do Microsoft phát triển, cung cấp khả năng bảo vệ tuyệt vời chống lại các hành vi khai thác. Nhưng này, điều đó không đủ kịch tính! Và chỉ có một blog bảo mật tương lai hoặc sắp trở thành khác đã thực sự nỗ lực hết sức để cố gắng phác thảo các vấn đề và cách giải quyết các vấn đề đó.
Rõ ràng, có bốn lỗ hổng riêng biệt, trong đó có ba lỗ hổng cục bộ. Nhàm chán trừ khi bạn là một tập đoàn có nhiều người làm việc trong tổ chức. Một nguyên nhân có thể là sự cố thực thi từ xa nếu người dùng mở một tài liệu được tạo đặc biệt - vui lòng tự giật điện - hoặc truy cập một trang có nhúng phông chữ độc hại.
Bản cập nhật bảo mật này giải quyết các lỗ hổng trong Microsoft Windows, Microsoft .NET Framework, Microsoft Office, Skype for Business và Microsoft Lync. Lỗ hổng bảo mật nghiêm trọng nhất có thể cho phép thực thi mã từ xa nếu người dùng mở tài liệu được chế tạo đặc biệt hoặc truy cập trang web có chứa các phông chữ nhúng được chế tạo đặc biệt.
Bây giờ, tại thời điểm này, tôi sẽ hỏi, được rồi, vậy là bạn đã viết ra vấn đề. Được rồi, tiếp theo là gì? Làm thế nào để khai thác thực sự hoạt động? Làm thế nào để người dùng thực sự tự bảo vệ mình khỏi điều này?
Không. Im lặng. Bởi vì những người phàn nàn và viết tất cả bộ phim này không thực sự muốn giúp đỡ. Họ chỉ muốn thu hút sự chú ý và thu lợi nhuận từ sự sợ hãi và tuyên truyền. Và rất có thể họ không có chuyên môn kỹ thuật cần thiết để thực sự trợ giúp. Mà làm cho họ vô dụng.
Phân tích đúng
Vì vậy, hãy xem những gì mang lại. Đầu tiên, bạn thực sự có thể cài đặt các bản cập nhật bảo mật do Microsoft cung cấp. Không có vấn đề lớn. Điều này có nghĩa là không có tư vấn cụ thể nào đảm bảo bất kỳ đề cập đặc biệt nào thực sự. Nhưng nếu bạn muốn tìm hiểu kỹ thuật, Microsoft có rất nhiều thông tin hữu ích về chủ đề này, không giống như các blog viết về điều này.
Ba trong số bốn lỗ hổng thuộc danh mục:Nhiều lỗ hổng bảo mật Win32k, được xác định bởi tư vấn CVE-2016-143, -165 và -167. Tất cả đều là người địa phương và hai trong số này có hoạt động khai thác tích cực. Không thú vị đối với đại đa số người dùng gia đình.
Lỗi thứ tư - Lỗ hổng hỏng bộ nhớ đồ họa CVE-2016-0145, là tất cả về các phông chữ được nhúng. Hiện tại nó vẫn chưa được tiết lộ hoặc khai thác công khai. Tuy nhiên, điều đó không thực sự an ủi hay làm bạn lo lắng. Bởi vì đó là tất cả về giáo dục. Chúng tôi không muốn lo lắng về một cái gì đó được vá ngày hôm nay. Chúng tôi muốn có thể giải quyết tất cả các lỗ hổng tiềm ẩn trong tương lai có tính chất tương tự, cho dù chúng có thời điểm nổi bật hay không.
Điều đó có nghĩa là chúng ta cần tập trung vào các phông chữ được nhúng. Đây là nguồn gốc của vấn đề. Nếu phông chữ nhúng độc hại tồn tại trên trang web và người dùng truy cập trang đó, thì thư viện phông chữ hệ thống có thể bị hỏng và cho phép thực thi mã tùy ý.
Nói cách khác, chúng tôi muốn dừng các phông chữ được nhúng và/hoặc ngăn trình duyệt gọi các thư viện phông chữ một cách bất hợp pháp. Một hoặc cả hai vectơ này, nếu bị dừng, có thể ngăn chặn việc khai thác.
Vấn đề đầu tiên có thể được giải quyết bằng cách không cho phép các phông chữ được nhúng. Nói chung, các phông chữ nhúng được hiển thị bằng quy tắc @font-face CSS. Nói cách khác, nếu bạn ngăn không cho quy tắc CSS cụ thể này được phân tích cú pháp khi tải trang, các phông chữ được nhúng sẽ không được tải và các hoạt động khai thác tiềm năng sẽ không chạy.
Bây giờ hãy nhớ Noscript và nó đã bị phỉ báng như thế nào trước đó?
Noscript thực sự chặn @font-face trên các trang không đáng tin cậy!
Vì vậy, trên thực tế, không chỉ Noscript không khiến hàng triệu người gặp rủi ro mà còn thực sự giúp hàng triệu người không gặp phải các sự cố tiềm ẩn với phông chữ được nhúng. Nó chỉ cho thấy có bao nhiêu sự cường điệu và kịch tính mà không có bất kỳ lời biện minh thực sự nào. Nhưng chúng ta chỉ mới bắt đầu.
Vectơ thứ hai là một trình duyệt phát điên bằng cách gọi thư viện phông chữ một cách bất hợp pháp. Đây chính xác là mục đích của Bộ công cụ trải nghiệm giảm nhẹ nâng cao. 'Đây là một công cụ bảo mật rất tiện lợi. Không dấu chân, không vô nghĩa. Nó không phân biệt giữa các ứng dụng tốt và xấu. Nó dừng tất cả các hướng dẫn bất hợp pháp mà nó có thể phát hiện trong các chương trình chạy dưới sự bảo trợ của nó.
Và sau đó, một câu hỏi thực tế, hữu ích sẽ là - có ai đã thử nghiệm khai thác phông chữ nhúng trong EMET bằng bất kỳ trình duyệt nào chưa? Hoặc có lẽ là các công cụ văn phòng hoặc Skype hoặc tương tự? Có ai đã thử bất kỳ loại thủ thuật phông chữ nhúng nào có thể kích hoạt hướng dẫn bất hợp pháp chưa?
Nói về các biện pháp giảm thiểu, Microsoft có TOÀN BỘ trang về việc chặn các phông chữ không đáng tin cậy! Nó giải thích cách thêm các tùy chọn giảm nhẹ ngăn GDI tải bất kỳ phông chữ nào bên ngoài thư mục %windir%/Fonts. Đây chính xác là những gì bạn muốn trong trường hợp này. Và điều đó có nghĩa là việc khai thác bản chất này sẽ không gây ra bất kỳ vấn đề nào. Vì vậy, tất cả những bài báo theo chủ nghĩa giật gân đó chỉ là những bài viết nhảm nhí thuần túy.
Bài viết áp dụng cho Windows 10 và nó cũng đề cập đến EMET 5.5, bổ sung độc đáo cho khả năng này. Tôi không biết liệu người dùng Windows 7 và Windows 8.1 có được hưởng lợi từ cùng một mức độ bảo mật hay không, nhưng sau đó, họ chắc chắn sẽ không tệ hơn họ.
Chặn phông chữ không đáng tin cậy
Dù sao đi nữa, đây là cách bạn có thể chặn các phông chữ không đáng tin cậy. Khởi chạy regedit.exe rồi truy cập:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\
Trong tổ ong này, hãy tìm khóa MitigationOptions. Nếu nó không tồn tại, hãy tạo một giá trị QWORD (64-bit) và đổi tên nó cho phù hợp. Bài viết giả định kiến trúc 64-bit, vì vậy tôi tin rằng bạn muốn có giá trị DWORD (32-bit) trên hệ thống 32-bit. Gán đúng giá trị. Để chặn các phông chữ không đáng tin cậy, bạn cần có một số dài - 1000000000000. Thêm số này vào bất kỳ giá trị giảm thiểu nào khác mà bạn có thể đã có sẵn. Con số này thực sự là một bộ lọc.
Và đó là trẻ em, trẻ sơ sinh được tạo ra như thế nào!
Nội dung khác
Có nhiều sự sợ hãi bình thường hơn. Tốc biến. Meh, nhàm chán. Một lần nữa, những thứ vô nghĩa khác mà không có bất kỳ dẫn dắt hợp lý nào về cách bạn thực sự có thể tự bảo vệ mình. Nó giống như nói, một chiếc xe tải có thể đâm vào bạn trong tháng này. Đúng, nhưng nếu bạn không đứng giữa đường, bạn có thể giảm đáng kể khả năng điều đó xảy ra. Chỉ có điều không ai bận tâm, biết hoặc muốn đề cập đến cách giải quyết. Tổng cộng chỉ 1 trong số 20 tìm kiếm hàng đầu đã cung cấp trợ giúp thực sự cho người dùng và thậm chí sau đó, không có quá nhiều thông tin về EMET và cách thức hoạt động của nó.
Tại sao tất cả sự cường điệu này, cầu nguyện?
Dedoimedo, tại sao những người khác không giúp đỡ? Tại sao họ thổi phồng an ninh rất nhiều? Tất cả các câu hỏi hay. Có một số câu trả lời cho điều này. Điều đầu tiên và rõ ràng là, không ai trở nên giàu có nhờ bán kỳ lân và cầu vồng. Mọi người yêu thích kịch. Thứ hai, vì thiếu nội dung tốt hơn và quan trọng hơn, việc sửa lại các bản tin bảo mật cũng tốt như nướng bánh mì làm bằng vàng ròng. Nhưng quan trọng nhất là...
Nghĩa vụ quân sự
Hầu hết nếu không muốn nói là tất cả các blogger về an ninh ở thế giới phương Tây, như:California, đều không có vinh dự được trải qua một nghĩa vụ quân sự dưới bất kỳ hình thức nào. Tôi khuyên bạn nên nó. Thêm tóc vào ngực và mù tạt cho củ cải của bạn. Xây dựng tính cách, buộc bạn phải giao tiếp xã hội, bạn học tính kỷ luật, nhưng cũng mang đến cho bạn một góc nhìn khác về cuộc sống so với cách bạn thường nghe Spotify trong khi bạn Segway đến quán cà phê sữa siêu sinh học gần nhất.
Và vì vậy, nếu cuộc sống của bạn chưa tiếp xúc với những khía cạnh kém mượt mà hơn của sự tồn tại của con người, như nghèo đói, nạn đói, bệnh tật, nô lệ, buôn bán, bạo loạn và cách mạng, chiến tranh và những thú vui khác của thế giới này, hãy tiếp tục QWERTY - hoặc DVORAK - một vấn đề bảo mật được phát hiện trong một hệ điều hành đột nhiên trở thành creme de la creme của sự phấn khích.
Một blogger đang trên đường đến tư vấn bảo mật tiếp theo.
Nói một cách dí dỏm, nếu bạn quá chìm đắm trong tâm lý phim bom tấn Hollywood, nơi các vụ nổ có màu cam và tình trạng hack xảy ra trên các cửa sổ thiết bị đầu cuối xanh đen bệnh hoạn, thì bạn có thể dễ dàng đánh mất sự hiểu biết về thực tế và đột nhiên nghĩ rằng đó là một lỗ hổng phông chữ đơn giản. không kém phần quan trọng so với SARS và Ebola cộng lại, và bằng cách viết blog về nó, bạn gần giống như một trung đoàn của Quân đoàn Pháp mới đổ bộ lên bờ biển Djibouti.
Kết luận
Đây là tháng tư trong một tóm tắt. Không có gì mới. Chẳng có gì thú vị cả. Không có gì có giá trị. Ngược lại, rất nhiều điều vô nghĩa có hại được thiết kế để gây kịch tính và gây sốc, khiến bạn dán mắt vào màn hình và đọc, khiến bạn sợ hãi mà không dạy bạn cách tự bảo vệ mình. Noscript, EMET, sao lưu dữ liệu thì sao? Không.
Tất cả các bạn đã biết tôi cảm thấy thế nào về bảo mật phần mềm. Nó hoàn toàn được đánh giá cao. Và những người viết blog về nó mà không thực sự giáo dục người dùng thì không tốt hơn kẻ thù được cho là mà họ đang rao giảng. Nếu bạn không có gì có giá trị để đóng góp, tốt nhất bạn không nên viết bất cứ điều gì ngay từ đầu. Bất kỳ ai cũng có thể đọc các bản tin của Microsoft. Họ không cần bạn lặp lại chính xác thông tin đó. Cũng không được truyền bá FUD và tuyên truyền mà không biết những thứ cơ bản hoạt động như thế nào, chẳng hạn như các tiện ích mở rộng của Firefox. Nhưng này, đó là thế giới chúng ta đang sống. Điều thực sự quan trọng là tất cả các trang web đều thân thiện với thiết bị di động, vì vậy chúng có thứ hạng tốt. Đúng? Thông tin có giá trị, sau khi tất cả.
Lưu ý:Tất cả các bức ảnh cũ đều thuộc phạm vi công cộng.
Chúc mừng.