{Бинарный} Форпост | Блог Артёма Синицына

14 апреля компания Майкрософт выпустила бюллетень безопасности Microsoft Security Bulletin MS09-016, описывающий одну публично раскрытую и одну сообщенную частным образом уязвимости в продуктах Microsoft ISA Server и Microsoft Forefront Threat Management Gateway (Forefront TMG), Medium Business Edition (MBE). Примечателен тот факт, что уязвимость в ISA Server была обнаружена впервые за последние 4 года!

Первая уязвимость позволяют злоумышленнику провести атаку типа “отказ в обслуживании” (Denial of Service, DoS) посредством отправки специальным образом сформированных сетевых пакетов на целевую систему.  Вторая уязвимость позволяет провести XSS-атаку (Cross Site Scripting, межсайтовый скриптинг) на целевую систему и, возможно, получить конфиденциальные данные пользователя, который проследует по специально сформированной злоумышленником URL-ссылке.

Я постараюсь описать каждую из приведенных уязвимостей более подробно.

Обнаруженные уязвимости

Web Proxy TCP State Limited Denial of Service Vulnerability – CVE-2009-0077

Severity Rating: Important
Class: Failure to Handle Exceptional Conditions
Maximum Security Impact: Denial of Service

Возможность проведения DoS-атаки существует по причине того, что механизм МСЭ (Firewall Engine, Firewall Packet Engine, fweng) в ISA Server и Forefront TMG MBE некорректно обрабатывает информацию о состоянии TCP-сессии слушателей веб-публикации (Web Publishing Listener) и веб-прокси (Web Proxy Listener). Данное поведение может привести к росту “висящих” сеансов, что приведёт в итоге к отказу в облуживании запросов на установление новых сессий.

Эксплуатировать данную уязвимость можно удалённого и анонимно посредством отправки веб-слушателю специальным образом созданных сетевых пакетов.

Данной уязвимости подвержены следующие продукты:

• Microsoft Internet Security and Acceleration Server 2004 Service Pack 3
• Microsoft Internet Security and Acceleration Server 2006
• Microsoft Internet Security and Acceleration Server 2006 Supportability Update
• Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
• Microsoft Forefront Threat Management Gateway, Medium Business Edition

Обновление системы безопасности устраняет некорректную обработку информации о состоянии TCP-сессии движком брандмауэра (Firewall Engine).

Cross-Site Scripting Vulnerability – CVE-2009-0237

Severity Rating: Moderate
Class: Input Validation Error
Maximum Security Impact: Spoofing and Information Disclosure

Возможность проведение XSS-атаки существует из-за недостаточно полной обработки входных данных компонентом аутентификации на основе HTML-форм (cookieauth.dll) в ISA Server и Forefront TMG MBE.

Для успешной эксплуатации уязвимости в политике брандмауэра ISA Server и Forefront TMG MBE должно быть включено правило публикации веб-узлов (Web Publishing Rule) c веб-слушателем (Web Listener), использующем HTML-формы для аутентификации пользовательских запросов (Forms Based Authentication, FBA).

Удаленный пользователь может с помощью специально сформированного URL-адреса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта, опубликованного с помощью ISA Server и Forefront TMG. Возможная XSS-атака является пассивной (XSS Type 1), то есть для успешной эксплуатации уязвимости необходимо чтобы пользователь явно перешёл по специально сформированной злоумышленником ссылке. Уязвимость не распространяется на Microsoft ISA Server 2004.

Данной уязвимости подвержены следующие продукты:

• Microsoft Internet Security and Acceleration Server 2006
• Microsoft Internet Security and Acceleration Server 2006 Supportability Update
• Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
• Microsoft Forefront Threat Management Gateway, Medium Business Edition

Обновление системы безопасности изменяет механизм проверки вводных данных веб-форм  аутентификации компонентом cookieauth.dll.

Отдельно отмечу, что Microsoft ISA Server 2000 Service Pack 2 не подвержен ни одной из описанных уязвимостей.

Устранение уязвимостей

Обе уязвимости устраняются установкой единственного обновления безопасности:

Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3 (статья базы знаний KB960995)

Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3 (статья базы знаний KB960995)

Microsoft Internet Security and Acceleration Server 2006 (статья базы знаний KB968078)

Microsoft Internet Security and Acceleration Server 2006 Supportability Update (статья базы знаний KB968078)

Microsoft Internet Security and Acceleration Server 2006 Service Pack 1 (статья базы знаний KB968078)

Microsoft Forefront Threat Management Gateway, Medium Business Edition (статья базы знаний KB968075)

Возможные проблемы и способы их разрешения

Сразу отмечу, что для завершения установки данного обновления системы безопасности потребуется перезагрузка системы! Так что запланируйте установку обновления и перезагрузку сервера на ближайшее окно обслуживания.

Второй момент, достойный упоминания, – это удалённая установка. Неоднократно вс ети встречал предупреждения о том, что не стоит устанавливать данное обновление удалённо. Аргументируется это возможным “зависанием” службы брандмауэра (ISA Server Firewall Service)  при попытке запуска после установки обновления. Естественно, если данная служба зависнет, удалённое подключение к системе по сети станет невозможным. В этом случае придется либо получать доступ непосредственно с серверной консоли, либо использовать так называемые out-of-band технологии удалённого доступа. Прекрасным примером данной технологии является HP integrated Lights Out (HP iLO).

Лично у меня не получилось воспроизвести описанную проблему. “Тщетными” в этом плане оказались три успешно завершённые попытки обновления системы в рамках удалённой RDP-сессии: сервер с установленным продуктом ISA Server 2006 Standard Edition и оба члена массива ISA Server 2006 Enterprise Edition.

Единственная подтвержденная проблема с установкой данного обновления может стать головной болью исключительно администраторов ISA Server Standard Edition, инсталлированных в системах с более чем четырьмя (4) процессорными ядрами. За более подробной информацией о данной проблеме и её решении обратитесь к статье Forefront TMG (ISA Server) Product Team:

MS09-012 and ISA Server Standard Edition 14109 Failures

Стоит ли говорить, что установить данное обновление системы безопасности необходимо как можно скорее :)

Послесловие

Эрик только что завершил установку обновлений системы безопасности, проверил корректность запуска всех необходимых сервисов, закрыл удаленный сеанс и принялся писать статью для блога.

Его творческое одиночество было нарушено приближающимся штормоподобным гулом в коридоре. Через несколько мгновений дверь распахнулась, и в кабинет влетела компания молодых людей с подозрительно горящими глазами и ярковыраженным счастьем на лицах. Один из вторгшихся держал в руке достаточно объемную книженцию. “How to become CCNA in 21 days”, – прочитал Эрик. Обладатель бестселлера компании из Сан-Франциско заметил внимательный взгляд и убрал манускрипт за спину.

“Ну чё, видел мы те линку по мылу прислали?” – начал возглавляющий нежданную делегацию и, весьма довольный собой, повернулся к своим спутникам дабы продолжить общее хихиканье.

Эрик открыл почтовый клиент и увидел сообщение со ссылкой на бюллетень безопасности, повествующий об уязвимостях, которые он только что закрыл на своих серверах.

“Видел,” – коротко ответил Эрик. Толпа ещё более воодушевилась.

“Ну чё, нашли дыру в твоей Исе. Да не одну, множественные уязвимости! Ису твою на коленки можно в два счета поставить,” – растянулся в улыбке руководитель делегации.

“ЗаДоСить можно так, что даже инспекция на прикладном уровне не поможет”, – подхватил начинающий сертифицированный специалист, меж тем продолжающий прятать литературный труд за спиной.

“Ниии аааадноооой уязвиииииимости с момента создания”, – протянул возглавляющий, обращаясь к своим товарищам и жестикулируя подобно дирижеру. “Иса это, иса то, а в реале – решето!” Вся компания зашлась хохотом, радушно принимая этот поэтический эксперимент.

“Я всегда говорил Микрософт – маздай, просто по умолчанию. Всегда так было и всегда так будет” – с видом бывалого эксперта произнёс автор реплики про “заДоСить”.

“Ладно ребят, пошли отсюда. Пусть поразмыслит над всем этим. Может переквалифицируется, хотя ему уже поздно,” – выдал очередную остроту возглавляющий и под одобрительный хохот коллег с видом триумфатора, неспешно следующего по улицам Рима, вышел в коридор. Толпа покинула комнату так же стремительно, как и появилась в ней. После закрытия двери Эрику на секунду показалось, что пространство коридора заполнил звук выстрела открытой бутылки шампанского. Хотя… Может быть просто показалось.

Эрик вернулся к статье. После набора нескольких строк Эрик остановился. В тот момент только мистер Жидкий Кристалл видел елезаметную улыбку Эрика, спрятанную в уголках рта. Нет-нет, в этой улыбке не было и намёка на сарказм. Эрик искренне радовался за этих парней. Ведь такого праздника им придётся ждать ещё года четыре…

Дополнение

Все описанные обновления безопасности с 14 апреля 2009 года доступны через службу Microsoft Update. Убедитесь, что ваш WSUS-сервер одобряет установку данных обновлений на все сервера c ISA Server вашей инфраструктуры.

Related Posts

1. Свежая пара багов Microsoft ISA Server 2006 SP1
2. Определение версии Microsoft ISA Server и информации об установленном Service Pack
3. Невозможность установки Microsoft ISA Server 2006 SP1 на ознакомительные версии продукта
4. Microsoft ISA Server 2006 Service Pack 1 увидел свет
5. Первый баг Microsoft ISA Server 2006 SP1