Последний патч от Microsoft не решает проблем безопасности

Специалисты корпорации nCircle Network Security, производителя систем информационной безопасности, считают, что один из патчей, выпущенных Microsoft 10 марта, на самом деле таковым не является. Теперь они обвиняют компанию в том, что функциональность занимает более высокие позиции в ее приоритетах, чем безопасность.

Тайлер Регьюли (Tyler Reguly), ведущий специалист по защите информации компании nCircle Network Security, заявил, что выпущенное на прошлой неделе обновление под номером MS09-008 не решает проблем безопасности, и пользователь, установив его, может не подозревать, что его компьютер все еще находится под угрозой вторжения. По словам Регьюли, оно не решает проблему, а лишь смягчает ее последствия.

Патч MS09-008 был предназначен для исправления ошибок в DNS- и WNS-серверах всех поддерживаемых в настоящее время серверных версий Windows, включая Windows 2000 Server, Server 2003 и Server 2008. Внимание Регьюли привлекла та его часть, что касалась реализации протокола WPAD (Web Proxy Auto-Discovery) в DNS-сервере. "WPAD является инструментом автоматического конфигурироваия прокси-сервера. Когда в конфигурации интернет-браузера, например, Internet Explorer, указано автоматическое определение настроек, он запрашивает с адреса wpad.название-компании.com файл конфигурации. Если злоумышленник получил доступ к WPAD-записи, он может перенаправить трафик с компьютеров жертвы на свой сервер и организовать MitM-атаку для получения паролей и любой другой информации", – объясняет Тайлер Регьюли.

Обновление под номером MS09-008 позволяет уменьшить риск таких атак, если администратор сети составит список доменных имен, которые DNS-сервер будет игнорировать. Но саму проблему таким образом решить нельзя. Более того, если WPAD-запись уже была "поправлена" третьей стороной, этот патч никак на сей факт не отреагирует.

Ответ Microsoft последовал незамедлительно. Маартен ван Хоренбеек (Maarten Van Horenbeeck), руководитель центра реагирования на проблемы безопасности компании Microsoft, сообщил в своем блоге: "WPAD является технологией, широко используемой в сетях предприятий, и наша компания, выпуская обновления безопасности, должна быть уверена, что осуществляет защиту данных наших пользователей, но в то же время не причиняет ущерба функциональности. Если DNS-сервер уже имеет WPAD- или ISATAP-запись до того, как администратор установил обновление, это домен не попадет в список блокированных, и сервер продолжит отвечать на соответствующие запросы. Если бы мы блокировали эти имена, администраторам пришлось бы вручную удалять их, что нарушило бы функционирование WPAD".

Регьюли считает, что с проблемой можно было бы справиться, ограничив динамическое обновление WPAD. Искреннее недоумение вызвала расстановка приоритетов Microsoft, при которой безопасность оказалась ниже функциональности, тогда как защиту можно было бы обеспечить без заметного ущерба для последней.