Windows服務(wù)器補(bǔ)丁你傷不起

想像下這個(gè)場(chǎng)景：你運(yùn)行著Exchange、SQL Server、Active Directory和其它類(lèi)似產(chǎn)品的關(guān)鍵Windows服務(wù)器完全暴露在運(yùn)行Metasploit的內(nèi)部人員面前，而惡意軟件為外來(lái)攻擊者提供了遠(yuǎn)程訪問(wèn)。

你大叫道：“不，這不可能在我的環(huán)境中發(fā)生，因?yàn)槲乙恢倍加薪oWindows服務(wù)器打補(bǔ)丁。”可是，事情沒(méi)有這么絕對(duì)。

除了運(yùn)行在工作站的固態(tài)完全磁盤(pán)加密和智能手機(jī)上的零控制外，Windows服務(wù)器上的缺少的補(bǔ)丁也是可預(yù)測(cè)的漏洞。由于某種原因，從Server 2008 R2一直往回到Windows NT的基于Windows的服務(wù)器都沒(méi)有恰當(dāng)?shù)氐玫叫扪a(bǔ)。追溯到2001年，在我的內(nèi)部網(wǎng)絡(luò)漏洞測(cè)試中，Windows補(bǔ)丁(不是服務(wù)包)可能在任意給定數(shù)的服務(wù)器中漏掉。這不只是Windows服務(wù)器中的問(wèn)題。工作站幾乎總是在更新。

首先，我會(huì)懷疑問(wèn)題很常見(jiàn)，“我們不能修補(bǔ)服務(wù)器，因?yàn)槿绻覀冞@么做了，廠商可能就不支持該應(yīng)用了?！钡俏疫M(jìn)一步深入就發(fā)現(xiàn)，通過(guò)Windows Server Update Services(WSUS)和其它第三方系統(tǒng)，這些Windows服務(wù)器都在修補(bǔ)范圍內(nèi)。也許偶然漏掉的補(bǔ)丁與網(wǎng)絡(luò)管理員卸載某些補(bǔ)丁來(lái)解決問(wèn)題有關(guān)？也許補(bǔ)丁管理過(guò)程中有些事情出錯(cuò)了，比如責(zé)任方的疏忽？

因?yàn)槟承┰?，WSUS和第三方補(bǔ)丁管理工具都不會(huì)報(bào)告這些遺漏補(bǔ)丁。似乎是補(bǔ)丁越老，它被忽視和暴光的機(jī)會(huì)越大。你會(huì)希望在這里或那里找到一個(gè)遺漏補(bǔ)丁，但這在很多項(xiàng)目中是一個(gè)持續(xù)性問(wèn)題。

不管潛在的起因是什么，你網(wǎng)絡(luò)中現(xiàn)在在Windows服務(wù)器上遺漏補(bǔ)丁數(shù)量的比率很大，明白這一點(diǎn)很重要，這些補(bǔ)丁都在等著流氓軟件和內(nèi)部盜竊的利用。

解決方法是什么？最好的做法是返回并確保所有的Windows服務(wù)器補(bǔ)丁都顯示安裝了。接著，信任但要查證。你可以通過(guò)運(yùn)行任意數(shù)的漏洞掃描器來(lái)完成，如運(yùn)行Qualys、Guard、NeXpose、Retina或LanGuard來(lái)確定忽視了什么，即使你只是使用掃描器的試用版或免費(fèi)版，你將有可能看到我所談到的東西。

你無(wú)須認(rèn)證就可以運(yùn)行這個(gè)漏洞掃描器，也許從進(jìn)入你網(wǎng)絡(luò)的人的角度，但并不通過(guò)Windows域或任何特定Windows主機(jī)的認(rèn)證。如果掃描器足夠好，它只會(huì)找到你需要的東西。最近，我在這方面更進(jìn)一步，我用常規(guī)的域用戶(hù)憑證運(yùn)行認(rèn)證的掃描。這類(lèi)掃描會(huì)找到相同或者可能更多的遺漏補(bǔ)丁并提供在你網(wǎng)絡(luò)中可以看到和利用事物的更精準(zhǔn)代表。

關(guān)鍵的事情是要明白你可能得不到Windows服務(wù)器的精確補(bǔ)丁信息，不好的信息等于不必要的風(fēng)險(xiǎn)。假設(shè)每件事情都很好，這可能產(chǎn)生安全上嚴(yán)重的錯(cuò)誤感覺(jué)，尤其是考慮到內(nèi)部人員運(yùn)用Metasploit攻擊你有多容易時(shí)，如果你沒(méi)有執(zhí)行周期性的內(nèi)部漏洞掃描，那么現(xiàn)在就是開(kāi)始的絕佳時(shí)機(jī)。