Разработка позволяет злоумышленникам запустить код на расстоянии в рамках системных привилегий, обычно предоставляемых для услуги DNS. И, хотя с технической точки зрения, разработка не представляет собой прямой угрозы для Internet-маршрутирования, как это случилось со злосчастным заголовком IPv6 в трассировках Cisco, который периодически выходит (или оголяет свой мерзкий тыл), данное проникновение может повлиять на маршрутирование электронных сообщений или IP трафика в рамках отдельно взятого предприятия или домена с ограниченными возможностями.
Вчера Microsoft подтвердила, что экспериментальный код, разработанный специалистами несет ответственность за первую вспышку атак. Однако это подтверждение большинством информационных источников было воспринято в качестве сигнала, говорящем о том, что код уже вышел, хотя на самом деле он мог быть запущен не более чем несколько недель назад, если не меньше.
Джордж Оу, блоггер ZDNet, что серверные системы Windows, использующие услуги DNS, могут защитить себя более качественно, чем это может сделать Microsoft. В сообщении для TechRepublic, он предлагает пользователям задействовать центрально управляемую защитную стену в дополнение к внешним защитам. Данные внешние защиты (стены), по его предположению, должны блокировать все порты по умолчанию, за исключением UDP-порта 53 для сервера DNS, который подключен к широкополосному Интернету.
В головной системе, политики могут быть составлены так, чтобы открывать входящие порты 1024 через 5000 только для станций, которые могут управлять DNS сервером дистанционно. Затем порт 3389 может быть открыт для станций, чтобы попасть через Remote Desktop. Таким образом, внутренний трафик на измененные порты становится более открытым, хотя и контролируемым, в то время как доступ в эти порты остается заблокированным за пределами шлюза.
Комментарии (0)