Операция Aurora и IE6: как zero-day заставил нас спешно гнать браузер по всему парку
Aurora вскрыла zero-day в IE6, которым пользовались атакующие против Google и десятков компаний. Что это значило для корпоративных парков, где IE6 ещё живёт.
Операция Aurora - атаки на Google и десятки компаний через zero-day в IE6, январь 2010.
Публикация деталей операции Aurora была из разряда тех, после которых немедленно идёшь смотреть, что именно стоит на парке клиентов. И у нескольких из них ответ оказался неприятным.
Уязвимость в Internet Explorer 6 - уязвимость нулевого дня, без опубликованного патча - использовалась для целевых атак на Google и ещё несколько десятков компаний. Вектор - фишинговая ссылка, пользователь открывает её в IE6, дальше загружается вредоносный код. Без предупреждений, без инсталляторов, просто страница в браузере. Microsoft в какой-то момент выпустила экстренную заплатку, но пока она вышла, прошло несколько дней, и за это время у корпоративных администраторов было ровно одно занятие: понять, где у них IE6 вообще стоит и что с этим делать.
Откуда IE6 в 2010-м
Вопрос не риторический. IE6 вышел в 2001-м и к 2010-му успел стать багажом, от которого не так просто избавиться. Причин несколько:
- Внутренние веб-приложения, написанные под IE6 и использующие его проприетарный рендеринг. Переписывать их никто не собирался, а в другом браузере они или не открываются, или ломаются в ключевых местах.
- Системы на базе Windows XP, на которых IE8 официально поддерживается, но его просто не поставили, потому что «работает же». Политика обновления браузеров на многих парках отсутствовала как класс.
- Групповые политики, которые фиксировали версию или вовсе блокировали установку стороннего ПО - а IE8 считался именно посторонним обновлением, не критическим патчем.
У одного из наших клиентов примерно треть машин при инвентаризации оказалась на IE6. Не потому что кто-то специально решил его оставить, а потому что при развёртывании XP в своё время взяли образ, который шёл с IE6, и больше к этому не возвращались.
Что делали
Первое, что сделали - заблокировали доступ во внешний интернет с машин, на которых IE6 остался основным браузером и снять его быстро не было возможности из-за зависимых приложений. Грубо, но IE6 без доступа к внешним сайтам - уже не вектор для Aurora-типа атаки. Это не решение, но это время.
Второе - инвентаризация, которую мы так или иначе советуем делать регулярно. В данном случае она была срочной: кто из пользователей реально работает во внешнем интернете, кто нет, где IE6 критичен для конкретного приложения, а где просто исторически висит. Список из двух колонок: «обновить немедленно» и «разобраться с приложением».
Третье - обновление до IE8 там, где можно. IE8 на Windows XP ставится, патч Aurora к нему неприменим. Распространение через WSUS или вручную по сегментам - это несколько дней работы в зависимости от размера парка.
Четвёртое - работа с теми приложениями, которые не работали вне IE6. Здесь история длиннее. Часть из них открывалась в IE8 в режиме совместимости - и это временное решение, которое снимало остроту. Часть требовала правки, которую проводили уже не в рамках инцидентного реагирования, а планово.
Что этот случай обнажил
Aurora неплохо показала, что проблема не в самой уязвимости, а в том, что устаревший браузер в корпоративной среде может жить годами незамеченным. Не потому что кто-то схалтурил, а потому что никто не смотрел системно: что стоит, в какой версии, кто им реально пользуется и с какими привилегиями.
Аудит в этом контексте - это не разовая акция после инцидента, а понимание, что именно находится на парке в каждый момент. В нескольких организациях, с которыми мы работаем, после Aurora просто оформили нормальную политику браузеров: конкретные версии, конкретные сроки обновления, список исключений с обоснованием. Не потому что требует регулятор, а потому что один раз срочная инвентаризация в режиме «что вообще стоит» - это некомфортно.
К середине января ситуация у клиентов была более-менее под контролем: IE6 без внешнего интернета там, где снять нельзя, IE8 там, где можно. Остаток - в плане на замену зависимых приложений. Не идеально, но не так что горит.
Microsoft в ответ на Aurora выпустила внеплановый патч раньше обычного цикла Patch Tuesday - что само по себе показывает серьёзность ситуации. Но патч для IE6 - это патч к уязвимости. Сам IE6 при этом никуда не делся, и вопрос «а зачем он вообще стоит» после Aurora стало значительно легче объяснять.