onsdag 9 november 2011

MS11-083 och MSKD 4.1


Vatten på min kvarn.
Igår kom Microsoft Security Bulletin MS11-083 (Critical) och det är först nu på förmiddagen som jag har hunnit titta på det och redan efter 4 rader så tappar jag hakan.
Man beskriver en bug som ligger på en nivå som är så låg (i TCP/IP stacken), så om jag inte har missförstått det helt, så är den interna Windowsbrandväggen verkningslös.

......Tid för dig som läsaren att begrunda.....

Utan att vet hur lätt det är att utnyttja buggen, ibland är dom så svåra att det inte blir något allvarligt hot, så betyder det att alla Windows system som exponeras mot ett nät med någon som vill göra elakheter, utsatta för risken. Det vill säga alla Windows system som inte har en annan brandvägg framför sig än en MS-brandvägg.
Det räcker inte med en annan brandvägg installerad på datorn.
Bara för att nämna 2 olika system: Alla datorer som sitter på 3G modem, alla TMG (MS Forefront Threat Management Gateway) om sitter mot internet.

Varför har jag satt MSKD 4.1 i titeln?
Jo, MSDK 4.1 står för Microsoft Kommundesign 4.1. Det är ett förslag på hur en kommun ska designa sitt nät och bara kör MS produkter så långt som möjligt.
Hela MSKD tänket känns inte rätt alls. Det finns delar i MSKD som är användbara och som jag tycker att man ska titta närmare på, men jag skulle aldrig använda hela tänkte.
Men om man nu har valt att följa denna till punkt och pricka så har man nu seriösa problem.

I och med denna bugg så kan alla som har valt att säkra sina IT-miljöer med brandväggar från annan tillverkar än MS, lugnare pusta ut.
Med stor sannolikhet ger deras icke MS lösningen ett skydd som inte går att underskatta.
Detta förutsatt att dom har inte öppnat några UDP-portar mot några av sina Windows system.
Kanske läge för en brandväggs revision???

Så, även om jag tidigare har sagt att man ska inte köpa alla sina system från en och samma tillverkare, så kan jag inte låta bli att säga det igen.
En tillverkare + en sårbarhet = Nya utmaningar. :)

http://technet.microsoft.com/en-us/security/bulletin/ms11-083
http://www.microsoft.com/en-us/server-cloud/forefront/threat-management-gateway.aspx
http://www.microsoft.com/sv-se/business/bransch/offentlig-sektor/mskd.aspx

Upplagd av kl.
Etiketter: ,

2 kommentarer:

  1. Lars Otterskog9 november 2011 kl. 07:24

    Helt klart en intressant defekt, hur löser man problemet i praktiken?

    En teoretisk lösning är att använda ett vlan per accessnod och terminera allt i en brandvägg, men hur många administratörer kan leva med en sådan lösning?

    Eller ska vi se på det ur informationperspektiv istället, att vi skyddar informationen och inte systemet den för tillfället huserar på?

    Skoj att du börjat blogga, man saknar insynen i problemen privata bolag och kommuner utsätts för :(

    /Lars

    SvaraRadera
  2. Karl Castor14 november 2011 kl. 02:46

    Tack och bra åsikter.
    Har kompletterat med en del 2, men har fortfarande inte svar på alla dina frågor. Gillar dock att du får mig att tänka till.

    Det kanske blir en uppföljning på de delarna.

    /Karl

    SvaraRadera

Prenumerera på: Kommentarer till inlägget (Atom)