Patchdeskundigen hebben moeite met deze plotselinge beslissing en wijzen erop dat er bekende kwetsbaarheden zijn die nu een maand ongepatcht blijven en dat ook nog eens de planning van IT-afdelingen in de war wordt geschopt. "Ik schrok enorm", zegt Chris Goettl, manager van patchbeheerder Ivanti (voorheen bekend als Shavlik). "Ik verwachtte echt dat de patches een week werden uitgesteld."
Maar op woensdag volgde een nieuwe verklaring van het bedrijf: "We zullen updates leveren als onderdeel van de geplande Update Tuesday op 14 maart 2017." (Microsoft verwijst zelf altijd naar Update Tuesday voor de patchronde die in de volksmond bekend staat als Patch Tuesday.)
"Dit is niet zoals eerder, toen het niet verschijnen van updates betekende dat er niets af was", vertelt Susan Bradley van mailinglist PatchManagement.org, waar IT'ers updates met elkaar bespreken. "De patches waren klaar. Ze zijn simpelweg vanwege een onbekende reden niet uitgerold."
Hij wijst erop dat Office-patches los van de Windows-patches worden afgeleverd. Als een enkele Windows-patch voor kuren had gezorgd, had Microsoft die update achtergehouden en wel de updates voor Office uitgegeven, denkt Goettl.
Het uitblijven van de patches begint een dringende zaak te worden nu Google een Windows-kwetsbaarheid die deze maand gerepareerd zou worden heeft gepubliceerd. Project Zero van Google dwingt bedrijven wel vaker tot het werk maken van patches door een strak disclosurebeleid te volgen van 90 dagen waarin een lek gepatcht moet zijn; daarna volgt openbaring.
Hierna: Een zeroday en andere openbaar bekende gaten opent de deur voor Windows-exploits die wekenlang ongedicht blijven.
Ivanti's Goettl denkt dat het schrappen van de hele bundel problemen met de update service-infrastructuur suggereert. "Dit is groter dan één patch", zegt hij tegen Computerworld. "Het gaat om iets dat te maken heeft met Windows Update of het update-replicatieproces."
PatchManagement.org's Bradley klaagt over het gebrek aan informatie van Microsoft, waardoor de geruchten alleen maar hardnekkiger worden. "Mijn buikgevoel zegt met dat er iets mis is gegaan met de engine die updates publiceert, maar ook dat is pure speculatie", zegt ze.
Beveiligingsonderzoekers maken zich zorgen dat zonder de patches criminelen gebruik maken van exploits om bekende Windows-kwetsbaarheden te benutten voor de gaten worden gedicht. Bradley noemt een paar die al bekend zijn en dringend beginnen te worden. "We hebben een tikkende tijdbom nu de Flash-update van Windows 8 en Windows 10 is uitgesteld."
"Daarnaast is er een zeroday DDoS-kwetsbaarheid in SMB waardoor we direct op zoek moeten naar manieren om de schade daarvan te beperken", aldus Bradley. Die laatste kwetsbaarheid werd op 2 februari al onthuld en er was een patch verwacht deze maand. En dan is er nog het gat in de Graphics Device Interface, dat Google vorige week onthulde.
Hoewel professionals, systeembeheerders en Windows-gebruikers klagen over deze gang van zaken, zal het geen invloed hebben op de bottom-line van Microsoft of zelfs diens reputatie. "Als je Windows-klant bent heb je geen andere keuze dan dit te slikken", zegt Bradley die de zakelijke realiteit benadruk.
"Dat betekent niet dat we dit prettig hoeven te vinden", aldus de patchdeskundige. "Maar als zij geen plan B hebben, hebben wij het ook niet."
Uitstel wordt afstel
Op dinsdag kondigde Microsoft slechts uren voordat de updates zouden verschijnen een vertraging aan. "We ontdekten een issue op het allerlaatste moment dat een impact zou hebben op sommige klanten en niet op tijd was opgelost voor onze geplande updates vandaag", schreef het bedrijf. De logische gevolgtrekking daarvan was dat de beveiligingspatches zouden volgen zodra dit issue was opgelost.Maar op woensdag volgde een nieuwe verklaring van het bedrijf: "We zullen updates leveren als onderdeel van de geplande Update Tuesday op 14 maart 2017." (Microsoft verwijst zelf altijd naar Update Tuesday voor de patchronde die in de volksmond bekend staat als Patch Tuesday.)
Ongehoorde stap
Een maand overslaan is nog niet eerder gebeurd. Microsoft heeft op vier Patch Tuesdays sinds de eerste in 2003 updates overgeslagen (het recentste voorbeeld hiervan was in maart 2007) maar in die gevallen waren er simpelweg geen patches voorbereid. Het is nog nooit voorgekomen dat er duidelijk patches klaar stonden om uitgerold te worden en dat vervolgens de ronde wordt overgeslagen."Dit is niet zoals eerder, toen het niet verschijnen van updates betekende dat er niets af was", vertelt Susan Bradley van mailinglist PatchManagement.org, waar IT'ers updates met elkaar bespreken. "De patches waren klaar. Ze zijn simpelweg vanwege een onbekende reden niet uitgerold."
Patchproblemen
Microsoft heeft (nog) niet aangegeven waarom er vertraging is of waarom er eerst uitstel was, waarna de patches volledig werden geschrapt. Bij gebrek aan verklaring wordt er druk gespeculeerd. Sommige mensen vermoeden dat een enkele slechte patch de cumulatieve bundel de nek om draaide, maar Goettl vindt dat geen logische verklaring.Hij wijst erop dat Office-patches los van de Windows-patches worden afgeleverd. Als een enkele Windows-patch voor kuren had gezorgd, had Microsoft die update achtergehouden en wel de updates voor Office uitgegeven, denkt Goettl.
Het uitblijven van de patches begint een dringende zaak te worden nu Google een Windows-kwetsbaarheid die deze maand gerepareerd zou worden heeft gepubliceerd. Project Zero van Google dwingt bedrijven wel vaker tot het werk maken van patches door een strak disclosurebeleid te volgen van 90 dagen waarin een lek gepatcht moet zijn; daarna volgt openbaring.
Hierna: Een zeroday en andere openbaar bekende gaten opent de deur voor Windows-exploits die wekenlang ongedicht blijven.
Ivanti's Goettl denkt dat het schrappen van de hele bundel problemen met de update service-infrastructuur suggereert. "Dit is groter dan één patch", zegt hij tegen Computerworld. "Het gaat om iets dat te maken heeft met Windows Update of het update-replicatieproces."
PatchManagement.org's Bradley klaagt over het gebrek aan informatie van Microsoft, waardoor de geruchten alleen maar hardnekkiger worden. "Mijn buikgevoel zegt met dat er iets mis is gegaan met de engine die updates publiceert, maar ook dat is pure speculatie", zegt ze.
Zeroday en andere issues
Iedereen is het erover eens dát het schrappen van de updates een impact gaat hebben op Windows-gebruikers, maar niet over hoe groot de gevolgen zijn. Goettl denkt bijvoorbeeld dat de impact beperkt zal zijn. "Ik denk dat er vooral kleine onderbrekingen zijn, zoals de systeembeheerders die updates opnieuw inplannen." Bradley: "Ik denk dat het wel een impact zal hebben, als ik zo de indruk peil die ik krijg van collega's."Beveiligingsonderzoekers maken zich zorgen dat zonder de patches criminelen gebruik maken van exploits om bekende Windows-kwetsbaarheden te benutten voor de gaten worden gedicht. Bradley noemt een paar die al bekend zijn en dringend beginnen te worden. "We hebben een tikkende tijdbom nu de Flash-update van Windows 8 en Windows 10 is uitgesteld."
"Daarnaast is er een zeroday DDoS-kwetsbaarheid in SMB waardoor we direct op zoek moeten naar manieren om de schade daarvan te beperken", aldus Bradley. Die laatste kwetsbaarheid werd op 2 februari al onthuld en er was een patch verwacht deze maand. En dan is er nog het gat in de Graphics Device Interface, dat Google vorige week onthulde.
Gevolgen in maart
Er is ook een kans dat de toename van de complexiteit en de grootte - omdat er een meute updates van twee maanden moet worden uitgegeven - de zaak lastiger maakt in maart. "Er kunnen twee keer zoveel wijzigingen zijn in de update, tenminste voor de pre-Windows 10-versies", zegt Goettl, "en waarschijnlijk twee keer zo'n grote kans dat er ergens iets omvalt bij het uitrollen van de patch."Hoewel professionals, systeembeheerders en Windows-gebruikers klagen over deze gang van zaken, zal het geen invloed hebben op de bottom-line van Microsoft of zelfs diens reputatie. "Als je Windows-klant bent heb je geen andere keuze dan dit te slikken", zegt Bradley die de zakelijke realiteit benadruk.
"Dat betekent niet dat we dit prettig hoeven te vinden", aldus de patchdeskundige. "Maar als zij geen plan B hebben, hebben wij het ook niet."
0 评论:
Een reactie posten