image

Microsoft: Windows 7-systemen doelwit van zeroday-aanval

dinsdag 24 maart 2020, 19:51 door Redactie, 8 reacties

De zeroday-aanval waar Microsoft gisteren voor waarschuwde was gericht tegen Windows 7-systemen, zo laat de softwaregigant vanavond weten. In de eerste waarschuwing werd gesteld dat er "beperkte gerichte" aanvallen waren waargenomen die misbruik van twee kwetsbaarheden in de Adobe Type Manager Library maakten waarvoor nog geen beveiligingsupdate beschikbaar is.

Deze library is in alle Windows-versies sinds Vista aanwezig. Verdere details over de aanvallen werden niet gegeven. Nu meldt Microsoft in een update van de security advisory dat Windows 7-systemen het doelwit waren. Via de twee beveiligingslekken kan een aanvaller in het ergste geval volledige controle over systemen krijgen. Hiervoor moet het slachtoffer wel eerst een speciaal geprepareerd document openen of dit document in het Windows-voorbeeldvenster (preview pane) bekijken.

Volgens Microsoft is de dreiging voor systemen die op Windows 10 draaien klein, vanwege beveiligingsmaatregelen die al sinds de eerste versie in 2015 aanwezig zijn. Het techbedrijf is ook niet bekend met aanvallen tegen Windows 10-systemen en stelt dat de mogelijkheid om op afstand code uit te voeren op deze Windowsversie verwaarloosbaar is en aanvallers de kwetsbaarheden niet kunnen gebruiken om hun rechten op het systeem te verhogen.

Wanneer de beveiligingsupdate voor de twee kwetsbaarheden zal verschijnen is nog altijd onbekend. Microsoft heeft wel verschillende tijdelijke oplossingen genoemd die gebruikers beschermen, maar raadt beheerders van Windows 10-systemen af om die door te voeren. In het geval van Windows 7 zullen alleen gebruikers met een onderhoudscontract de aanstaande beveiligingsupdate ontvangen.

Reacties (8)
25-03-2020, 10:03 door souplost
In het geval van Windows 7 zullen alleen gebruikers met een onderhoudscontract de aanstaande beveiligingsupdate ontvangen.
Anderen (met een contract) gaan voor de security patch betalen maar mogen deze niet delen. Hoe duidelijk wil je het hebben? Security is geen vanzelfsprekendheid bij Microsoft maar een verdienmodel. Geef die patch vrij Microsoft desnoods met een vertraging.
25-03-2020, 10:25 door Tintin and Milou - Bijgewerkt: 25-03-2020, 10:39
Door souplost:
In het geval van Windows 7 zullen alleen gebruikers met een onderhoudscontract de aanstaande beveiligingsupdate ontvangen.
Anderen (met een contract) gaan voor de security patch betalen maar mogen deze niet delen. Hoe duidelijk wil je het hebben? Security is geen vanzelfsprekendheid bij Microsoft maar een verdienmodel. Geef die patch vrij Microsoft desnoods met een vertraging.
Welke onduidelijkheid? De eind datum is al heel lang bekend bij iedereen.
Menige leveranciers kan nog wat leren om hun product meer dan 10 jaar ondersteuning te geven zonder extra kosten.

Wil je daarna nog extra support hebben, dan moet je hier specifiek extra voor betalen.
Dit is niet heel veel anders dan zoals "Extended Life Cycle Support (ELS) Add-On" van redhat of andere leveranciers die dit aanbieden.
Of bij Ubuntu de "Extended Security Maintenance" (wel gratis voor prive gebruik).

Dus sorry je opmerking slaat helemaal nergens op. Het product is EOL, na meer dan 10 jaar ondersteuning.
25-03-2020, 11:27 door souplost
Door Tintin and Milou:
Door souplost:
In het geval van Windows 7 zullen alleen gebruikers met een onderhoudscontract de aanstaande beveiligingsupdate ontvangen.
Anderen (met een contract) gaan voor de security patch betalen maar mogen deze niet delen. Hoe duidelijk wil je het hebben? Security is geen vanzelfsprekendheid bij Microsoft maar een verdienmodel. Geef die patch vrij Microsoft desnoods met een vertraging.
Welke onduidelijkheid? De eind datum is al heel lang bekend bij iedereen.
Menige leveranciers kan nog wat leren om hun product meer dan 10 jaar ondersteuning te geven zonder extra kosten.

Wil je daarna nog extra support hebben, dan moet je hier specifiek extra voor betalen.
Dit is niet heel veel anders dan zoals "Extended Life Cycle Support (ELS) Add-On" van redhat of andere leveranciers die dit aanbieden.
Of bij Ubuntu de "Extended Security Maintenance" (wel gratis voor prive gebruik).

Dus sorry je opmerking slaat helemaal nergens op. Het product is EOL, na meer dan 10 jaar ondersteuning.
Jij bevestigt alleen maar mijn bewering. het gaat je om de pegels niet om security.
Als Redhat een security patch beschikbaar stelt is dat voor iedereen. Open source weet je wel.
25-03-2020, 13:01 door Anoniem
Door souplost:
Jij bevestigt alleen maar mijn bewering. het gaat je om de pegels niet om security.
Als Redhat een security patch beschikbaar stelt is dat voor iedereen. Open source weet je wel.
Bedoel je niet niet dat redhat exact het zelfde doet?
https://access.redhat.com/support/policy/updates/errata
Zonder de betaalde addon krijg je ook geen security patches meer, je kunt natuurlijk zelf gaan hobbyen, maar of dat nu een slim idee is. Waarbij trouwens voor redhat een support contract moet aanschaffen voor de updates. Iets wat ik met Windows niet of te doen. Ik hoop 1 keer windows 7, en krijg daarna tot het einde gewoon alle updates tot einde support.

Bij Ubuntu het zelfde voor ondersteuning van de LTSR versie, wil je ondersteuning heb ik extra support nodig, voor bedrijven betaald.

Het is dus niet heel veel anders, als je er gewoon goed naar kijkt
25-03-2020, 13:38 door Anoniem
Door Tintin and Milou:
Door souplost:
In het geval van Windows 7 zullen alleen gebruikers met een onderhoudscontract de aanstaande beveiligingsupdate ontvangen.
Anderen (met een contract) gaan voor de security patch betalen maar mogen deze niet delen. Hoe duidelijk wil je het hebben? Security is geen vanzelfsprekendheid bij Microsoft maar een verdienmodel. Geef die patch vrij Microsoft desnoods met een vertraging.
Welke onduidelijkheid? De eind datum is al heel lang bekend bij iedereen.
Menige leveranciers kan nog wat leren om hun product meer dan 10 jaar ondersteuning te geven zonder extra kosten.

Wil je daarna nog extra support hebben, dan moet je hier specifiek extra voor betalen.
Dit is niet heel veel anders dan zoals "Extended Life Cycle Support (ELS) Add-On" van redhat of andere leveranciers die dit aanbieden.
Of bij Ubuntu de "Extended Security Maintenance" (wel gratis voor prive gebruik).

Dus sorry je opmerking slaat helemaal nergens op. Het product is EOL, na meer dan 10 jaar ondersteuning.
Wel gek is dat ik afgelopen zondag een oude laptop opstartte met Windows 7, en ineens updates zag verschijnen. Niet alleen updates van vóór 14-02-2020, maar ook erná. Ik snap er geen jota meer van. Windows 7 zou op 14-02-2020 end-of-life zijn, maar ik kon gewoon updates installeren. Er zaten ook updates bij van 10-03-2020.
26-03-2020, 00:29 door Anoniem
Door Anoniem:
Wel gek is dat ik afgelopen zondag een oude laptop opstartte met Windows 7, en ineens updates zag verschijnen. Niet alleen updates van vóór 14-02-2020, maar ook erná. Ik snap er geen jota meer van. Windows 7 zou op 14-02-2020 end-of-life zijn, maar ik kon gewoon updates installeren. Er zaten ook updates bij van 10-03-2020.

Welke updates waren dat (Q-nummer)? Het kunnen updates zijn voor Office of niet-security updates die optioneel zijn.
26-03-2020, 09:20 door Anoniem
Door Anoniem:Wel gek is dat ik afgelopen zondag een oude laptop opstartte met Windows 7, en ineens updates zag verschijnen. Niet alleen updates van vóór 14-02-2020, maar ook erná. Ik snap er geen jota meer van. Windows 7 zou op 14-02-2020 end-of-life zijn, maar ik kon gewoon updates installeren. Er zaten ook updates bij van 10-03-2020.

Volgens mij krijg je alleen nog maar updates voor de Windows Malicious Software Removal Tool.
Op een test VM van mij zijn dat de laatste twee patches die ik heb gekregen van Feb. en Mrt.
26-03-2020, 21:30 door Anoniem
Ja ik vroeg me al af wanneer microsoft de zero days zou vrijgeven op windows7. Is er al een trend te herkennen wanneer de zero day actief wordt na hun eol product?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.