ребус-м

В АПКЗИ "Ребус-М" версии 4.0 (сертификат соответствия ФСТЭК России № 3140) обнаружена уязвимость BDU:2024-04392, опубликованная в базе уязвимостей ФСТЭК России (https://bdu.fstec.ru/vul/2024-04392).

ВНИМАНИЕ! Уязвимость не актуальна для АПКЗИ "Ребус-М" с сертификатом соответствия Минобороны России № 1117!

Компенсирующие меры, нейтрализующие угрозу эксплуатации уязвимости:
Для нейтрализации угрозы эксплуатации уязвимости необходимо запретить пользователям возможность запуска исполняемых файлов, полученных с внешних источников:

• внешних носителей информации;
• общих сетевых ресурсов.

Если пользователи не используют на ЭВМ внешние носители, то их можно не добавлять в список ресурсов станции (если внешних носителей нет в списке ресурсов станции, запуск с них исполняемых файлов будет невозможен).

Для обеспечения возможности работы пользователей с внешними носителями эти носители необходимо добавить в список ресурсов соответствующих станций, для этого необходимо выполнить следующие действия:

• войти в ОС под учетной записью администратора АПКЗИ «Ребус-М»;
• запустить программу «Администрирование АПКЗИ»;
• в списке станций выбрать нужную станцию, нажать кнопку «Изменить», в появившемся окне «Редактирование станции» выбрать вкладку «Ресурсы»;
• если в списке ресурсов станции нет ресурсов «Flash-носители», «CD/DVD», «ГМД», и при этом пользователю нужно использовать данные ресурсы, то эти ресурсы необходимо добавить на станцию. Те ресурсы, которые не используются на станции, необходимо удалить из списка ресурсов станции;
• если в списке ресурсов станции нет необходимых логических дисков (папок), то их необходимо добавить. Для добавления новых логических дисков необходимо добавлять ресурс «Папка» с именем, содержащим имя диска, например, «g:\». Те диски, которые не используются на станции, необходимо удалить из списка ресурсов станции;
• в окне «Редактирование станции», во вкладке «Пользователи», выбрать пользователя, нажать кнопку «Изменить»;
• в окне «Работа пользователя станции» выбрать вкладку «Права доступа»;
• если в списке ресурсов (ресурсов пользователя станции) нет необходимых пользователю ресурсов «Flash-носители», «CD/DVD», «ГМД», логических дисков внешних носителей (например, «g:\»), их необходимо добавить;
• последовательно перебирая внешние ресурсы, необходимо во вкладке «Права доступа» установить для каждого ресурса запрет на запуск («Запуск»), а для логических дисков в дереве прав доступа необходимо раскрыть раздел «Наследуемый доступ\Использование ф/п» и установить запрет на запуск («Запуск файла»).

После выполнения настроек для всех станции и пользователей необходимо передать на все станции таблицы настроек и перезагрузить станции для вступления настроек в силу.

Дополнительно, необходимо блокировать возможность запуска исполняемых файлов с общих сетевых ресурсов. Для этого необходимо (с помощью межсетевого экрана, брандмауэра Windows и проч..) разрешить доступ по сети только к доверенным (защищаемым, контролируемым) общим сетевым ресурсам (в случае использования таковых), а также запретить запуск исполняемых файлов с этих ресурсов путём настройки соответствующих прав доступа.