BadTunnel: Плохие новости? Новая критическая уязвимость во всех версиях Windows.

Если вы следите за новостями в мире IT, то наверное заметили что уже все успели опубликовать "сенсационную новость" о том что в ОС Windows была обнаружена новая критическая уязвимость, которая позволяет брать злоумышленнику под контроль весь трафик жертвы. Следующие статьи (на этот раз я решил привести их в виде списка) позволяют разобраться что к чему и так ли страшна новая уязвимость. Если вкратце, то в случае если ваша ОС уязвима, злоумышленник может вынудить ваш ПК открыть UDP-туннель через 137-й порт со своим сервером и с помощью поддельных ответов на запросы Web Proxy Auto-Discovery (WPAD) заставить ваш ПК применить специально подготовленные настройки Proxy-сервера в качестве системных, полностью получив контроль над трафиком вашей системы. Многие ресурсы, например ИА REGNUM, собственно так и описали худший из возможных сценариев: "Злоумышленник может контролировать не только HTTP и HTTPS-запросы: BadTunnel позволяет взять под контроль всю сетевую активность ОС. Например, вмешиваться в загрузку системных обновлений".

Теперь обещанные наиболее полезные ссылки, которые могут помочь разобраться в том, как же это происходит:

• Критическая уязвимость позволяет перехватывать весь сетевой трафик пользователей Windows (Хабрахабр)
• Уязвимость BadTunnel в NetBIOS позволяет осуществить перехват всего web-трафика (SecurityLab.ru)
• Уязвимость во всех версиях Windows позволяет контролировать трафик жертвы (Хакер)
• Китайские программисты нашли критическую уязвимость во всех версиях Windows (RegNum)
• BadTunnel: Bad News?

Ссылки на соответствующие KB на сайте Microsoft:

• MS16-077: Обновление для системы безопасности для WPAD: 14 июня 2016 г.
• MS16-063: Накопительное обновление безопасности для обозревателя Internet Explorer: 14 июня 2016 г.
• Security Update for WPAD (3165191)
• Cumulative Security Update for Internet Explorer (3163649)

Однако, как выяснилось проблема и ее исправление имеет "побочные" эффекты. Так, например, после установки обновления KB3165191 (MS16-077) стало невозможным подключиться по протоколу Netbios over TCP/IP к сетевым шарам с клиентов, расположенных в других ip подсетях, а также появились проблемы при подключении Samba клиентов к контроллерам доменов расположенных в других подсетях. Более подробно про этом можно почитать на WinITPro.ru:

• Проблемы с доступом к шарам по SMB over NETBIOS из других подсетей
• Почему перестали работать некоторые GPO после установки MS16-072 (эта статья не затрагивает уязвимость BadTunnel, но также рассказывает о проблемах вызванных обновлением безопасности для предотвращения другой MiTM атаки)

В итоге получаем что как уязвимость, так и само обновление направленное на ее исправление может принести немало головной боли системным администраторам, особенно тем, кому приходится иметь дело с достаточно крупной инфраструктурой.