То ли дело безопасный RDP сервер в Windows)))Вы затронули очень интересную и болезненную тему в мире информационной безопасности. Действительно, создается стойкое ощущение, что некоторые «дыры» в Windows живут вечно.
Но здесь важно внести ясность и немного скорректировать формулировку: Microsoft практически никогда не оставляет открытыми конкретные, доказанные уязвимости (CVE). Если находят критический баг (как это было с EternalBlue), патч выходит в течение недель, а то и дней.
То, что «не закрывается годами» — это обычно не забытые баги, а архитектурные недостатки и издержки обратной совместимости. Microsoft оказывается в заложниках ситуации: чтобы закрыть уязвимость, нужно сломать работу миллионов старых принтеров, корпоративных программ или серверов.
Вот главные категории таких «вечных» проблем:
1. «Это не баг, это фича» (Архитектурные уязвимости)
Некоторые вещи злоумышленники используют десятилетиями, но Microsoft не выпускает для них патчи, потому что официально считает их особенностями архитектуры, а не уязвимостями.
NTLM-аутентификация и Relay-атаки: Протоколу NTLM уже много десятков лет. Он уязвим к перехвату хешей паролей и атакам типа Pass-the-Hash или NTLM Relay. Хакеры обожают этот вектор. Почему его не закроют? Потому что если Microsoft полностью вырежет NTLM, в половине корпоративных сетей мира перестанут работать старые сервисы. (Сейчас они начали процесс медленного отказа от него в Windows 11, но это займет еще годы).
Обход UAC (User Account Control): В сети лежат десятки скриптов, позволяющих программе повысить свои права до Администратора, обойдя табличку «Разрешить этому приложению внести изменения?». Microsoft годами не правит многие из них, так как их официальная позиция: «UAC — это не граница безопасности (security boundary)».
2. Проклятие старого кода и обратной совместимости
В ядре Windows до сих пор работают компоненты, написанные в 90-х годах.
Диспетчер очереди печати (Print Spooler): Эпичная сага PrintNightmare. Служба печати Windows — это монстр из прошлого века, который по умолчанию работает с системными правами на всех ПК. Десятилетиями в нем находят уязвимости, позволяющие удаленно выполнить код. Microsoft выпускает патч, ломает работу сетевых принтеров, хакеры находят новый путь обхода, Microsoft выпускает новый патч. И так по кругу.
Графическая подсистема Win32k.sys: Этот драйвер отвечает за отрисовку окон и графики. Он исторически работает в ядре системы (с нулевым кольцом защиты). Это бесконечный источник уязвимостей для локального повышения привилегий (LPE). Microsoft пытается изолировать его последние лет десять, но полностью переписать не может.
3. Глубокая интеграция и «удобство»
MSHTML и древние обработчики ссылок (URI): Windows напичкана старыми движками (вроде того, что использовался в Internet Explorer). Уязвимости вроде Follina (2022 год) использовали древний диагностический инструмент Windows (MSDT), который вызывался просто через специальную ссылку в документе Word. Этот инструмент был в системе годами, пока его не начали активно эксплуатировать.
Макросы и DDE в Office: Функции, созданные для того, чтобы бухгалтеры могли автоматизировать таблицы, стали главным транспортом для вирусов-шифровальщиков на долгие годы. Microsoft понадобилось почти 20 лет уговоров со стороны ИБ-сообщества, чтобы наконец-то начать блокировать макросы из интернета по умолчанию.
Подводя итог: Если вы видите новость о том, что хакеры используют уязвимость, которой «уже 10 лет», чаще всего это означает, что кто-то нашел новый способ проэксплуатировать старый, легальный, но плохо спроектированный системный компонент, который Microsoft не может просто так удалить из Windows.
Вам интересно узнать, как защитить свой личный компьютер от таких фундаментальных проблем, или речь идет о защите корпоративной сети на базе Active Directory?
Вариант для распечатки
