MS16-087 implica che il computer Windows 7 sia vulnerabile da Internet?

3

Ho appena letto il MS16-087 bollettino sulla sicurezza e gli articoli di Vectra (che a quanto pare ha scoperto la vulnerabilità). A quanto ho capito, MS Point and Print ha offerto una consegna dei driver di stampa da una stampante o un server di stampa senza query UAC all'utente.

Sono preoccupato per un collega che utilizza un computer Windows 7 Professional senza la patch, ma non voglio aggiornare quel sistema a meno che non sia assolutamente necessario perché è in esecuzione un'applicazione aziendale cruciale che non desidero destabilizzare dagli shenanigans di Microsoft ( ad esempio, Win 10 aggiornamenti forzati).

Si tratta di una singola workstation con stampante direttamente collegata (cavo USB). Utilizzano Internet solo per le aziende, ad es. Email, siti Web correlati alle attività commerciali.

Eseguono Kaspersky AV e firewall.

Se li avverto di essere particolarmente cauti nel non visitare siti Web senza convalida aziendale e anche dopo essere prudenti nella stampa da una pagina Web, è improbabile che vengano colpiti?

Mi sembra che tu abbia bisogno di andare a un vettore di attacco da watering di Internet e acconsentire a stampare o accettare un driver di stampa per essere colpito da malware relativo a questo vettore. La rete interna è accessibile solo a un router DSL con firewall.

    
posta Dalton Bentley 13.07.2016 - 21:06
fonte

3 risposte

1

IMHO, il rischio può essere mantenuto ragionevolmente basso, perché il vettore di attacco richiede che l'utente si colleghi a un server di stampa infetto o installi un driver infetto sulla sua macchina.

Ciò significa che, purché l'utente sia istruito e non abbia privilegi amministrativi, non tenterà nemmeno di installare una nuova stampante sul proprio computer, o non sarà in grado di farlo.

Può essere visto solo come soluzione e documentato perché se la macchina dovesse essere riutilizzata in un secondo momento sarebbe fondamentale passare la patch. Ma può essere utile se per qualsiasi motivo non è possibile tracciare una macchina specifica.

    
risposta data 10.01.2017 - 14:43
fonte
0

Vedi Bollettino Microsoft sulla sicurezza MS16-087 per informazioni dettagliate sulla mitigazione alternativa strategie.

CVE-2016-3238 richiede un attacco MitM riuscito in cui i driver di stampa dannosi vengono inviati al client. In Fattori attenuanti si afferma che l'uso dei criteri di restrizione dei punti e della stampa potrebbe .

CVE-2016-3239 richiede che l'attaccante "acceda a un sistema interessato ed esegua uno script o un'applicazione appositamente predisposta". Nessuna limitazione qui tranne per non consentire a un utente malintenzionato di accedere.

L'aggiornamento è destinato alle reti con un server di stampa. Poiché la stampante è collegata tramite USB, forse è il server di stampa. Se ciò è vero, impedirgli di contattare altri server di stampa (anche i possibili server di stampa canaglia) e questo dovrebbe mitigare questa vulnerabilità per quel sistema. È inoltre possibile implementare IPsec per garantire che MitM non possa verificarsi se i client utilizzano la stampante in rete.

L'opzione migliore è eseguire il backup del sistema e installare l'aggiornamento per la protezione. È impossibile suggerire che si possa essere "cauti" su Internet e non essere colpiti da una vulnerabilità. Ci sono troppe variabili (privilegi minimi, versione del sistema operativo, versione del browser, plugin, configurazione del browser, DNS, ecc.). Inoltre, ti impedisce di eseguire queste configurazioni una tantum che possono diventare ingestibili nel tempo.

Inoltre, se un utente malintenzionato è in grado di eseguire questo attacco, ora ha accesso a un sistema aziendale . Backup, installazione aggiornamento, test. Rollback se assolutamente necessario.

    
risposta data 13.07.2016 - 21:56
fonte
0

Does MS16-087 imply Windows 7 computer vulnerable from Internet?

Sì, secondo blog.vectranetworks , un attacco può essere montato utilizzando le funzioni noto come IPP (Internet Printing Protocol) e webpnp (Web Point-and-Print)

Infecting Remotely Using Internet Printing Protocol and webPointNPrint

So far we have constrained ourselves to an internal network where a device was either inserted or infected and used to further infect devices connecting to it. Microsoft Internet printing protocol (IPP) and webpointNprint allow us to extend this issue outside the intranet to the internet. Microsoft IPP allow for the same mechanism to load driver from the printer. This can be done with following piece of code from the MS print server.

    
risposta data 12.10.2016 - 13:13
fonte

Leggi altre domande sui tag