หน่วยงานต่าง ๆ ต้องเผชิญกับการตอบสนองอย่างรวดเร็วเพื่อแก้ไขช่องโหว่ที่รู้จักในเซิร์ฟเวอร์ Windows Domain Name SystemCybersecurity and Infrastructure Security Agency ภายใต้คำสั่งฉุกเฉินได้ให้เวลาหน่วยงานจนถึงเวลา 14.00 น. ในวันศุกร์ที่ 17 กรกฎาคม เพื่อปรับใช้แพตช์ที่ออกเมื่อวันอังคาร — หรือ “วิธีแก้ปัญหาชั่วคราวตามรีจิสทรี” — สำหรับ Windows Servers ที่ใช้ DNS
“CISA ระบุว่าช่องโหว่นี้ก่อให้เกิดความเสี่ยงที่สำคัญอย่าง
ไม่สามารถยอมรับได้ต่อฝ่ายบริหารพลเรือนของรัฐบาลกลาง และจำเป็นต้องดำเนินการทันทีและฉุกเฉิน” หน่วยงานดังกล่าวเขียนไว้ในคำสั่งฉุกเฉิน
CISA ออกคำสั่งฉุกเฉิน “โดยพิจารณาจากโอกาสที่ช่องโหว่จะถูกโจมตี การใช้ซอฟต์แวร์ที่ได้รับผลกระทบอย่างกว้างขวางทั่วทั้งองค์กรของรัฐบาลกลาง ศักยภาพสูงในการประนีประนอมระบบข้อมูลของหน่วยงาน และผลกระทบร้ายแรงของการประนีประนอมที่ประสบความสำเร็จ”
CX Exchange ของ Federal News Network: เข้าร่วมกับเราในช่วงบ่ายสองวันที่ 26 และ 27 เมษายน ซึ่งเราจะสำรวจเทคโนโลยี นโยบาย และกระบวนการที่สนับสนุนความพยายามของหน่วยงานในการให้บริการสาธารณะ ธุรกิจ และเจ้าหน้าที่ของรัฐอย่างมีประสิทธิภาพมากขึ้น
ซีไอเอสเอ
Chris Krebs เป็นผู้อำนวยการ CISA ที่ DHS
Chris Krebs ผู้อำนวยการ CISA เขียนในบล็อกโพสต์แยกต่างหากว่า นี่เป็นคำสั่งฉุกเฉินฉบับที่สามที่เขาอนุมัติระหว่างดำรงตำแหน่ง
ในเดือนมกราคมCISA กำหนดให้มี “การดำเนินการฉุกเฉิน”
จากหน่วยงานเกี่ยวกับช่องโหว่ของระบบปฏิบัติการ Windows ของ Microsoft โดยให้เวลาเพียงไม่กี่วันในการประเมินขอบเขตของช่องโหว่และ 10 วันในการแก้ไขหรือแก้ไขจุดสิ้นสุดที่ได้รับผลกระทบทั้งหมด
การอัปเดตซอฟต์แวร์เซิร์ฟเวอร์ DNS ของ Windows ระบุถึงช่องโหว่สำคัญที่ผู้โจมตีจากระยะไกลสามารถโจมตีเพื่อเข้าควบคุมระบบที่ได้รับผลกระทบและเรียกใช้รหัสโดยอำเภอใจในบริบทของบัญชีระบบภายในเครื่อง
“มันถือเป็นช่องโหว่ที่ ‘สามารถโจมตีได้’” Krebs เขียน “มันสามารถทำงานได้อย่างอิสระและเผยแพร่สำเนาไปยังระบบที่มีช่องโหว่อื่น ๆ — และส่งผลกระทบต่อ Windows Server ทุกรุ่นที่เปิดใช้งานบทบาท DNS”
หน่วยงาน CIO มีเวลาจนถึงวันที่ 24 กรกฎาคมในการส่งรายงานฉบับสมบูรณ์ไปยัง CISA ซึ่งยืนยันว่าการอัปเดตได้นำไปใช้กับปลายทางที่ได้รับผลกระทบทั้งหมดแล้ว
ตั้งแต่วันที่ 13 สิงหาคม Krebs จะติดต่อกับหัวหน้าเจ้าหน้าที่สารสนเทศและเจ้าหน้าที่ระดับสูงของหน่วยงานเพื่อจัดการความเสี่ยงในหน่วยงานที่ยังไม่ปฏิบัติตามข้อกำหนดทั้งหมดของคำสั่งฉุกเฉิน
