Microsoft lijkt zichzelf klem te hebben gezet met de nieuwe, cumulatieve opzet voor Windows-updates. De patchronde van februari is geheel uitgesteld naar maart. Een voorbode?
Serieuze systeembeheerders en waakzame Windows-werkerrs hebben het al gemerkt: de Patch Tuesday van deze maand is ongepatcht voorbijgegaan. Eerst was er de summiere blogpost dat de updates van februari werden uitgesteld. ‘Deze maand hebben we een last minute issue ontdekt die sommige klanten kan raken en die niet op tijd was opgelost voor onze geplande updates vandaag.’
Ongemak
Deze plotse mededeling werd gedaan op de dinsdag dat de normale maandelijkse patchronde zou moeten plaatsvinden. ‘Na alle opties te hebben overwogen, hebben we het besluit genomen om de updates van deze maand uit te stellen’, aldus de blogpost van het MSRC (Microsoft Security Response Center) Team. ‘We bieden excuses aan voor enig ongemak veroorzaakt door deze verandering in het bestaande plan.’
Een dag na de aankondiging van het eerst nog onbepaalde uitstel is de korte blogpost aangevuld met de mededeling dat de patches van de februari-update meekomen met de geplande ronde in maart. Alle patches van de plots geschrapte ronde komen dus op 14 maart uit. Daarmee is de kous echter niet af. De maand uitstel heeft gevolgen, maar daarnaast is er meer aan de hand; achter de schermen van Microsofts patchbuilding.
Allereerst is het ongemak voor beheerders en gebruikers van Windows meer dan een enkele patch die wordt uitgesteld. Microsoft is sinds vorig jaar namelijk overgegaan op een verenigde (unified) en cumulatieve release-aanpak voor zijn updates. Alle patches die op stapel staan om in een maand uit te komen, worden als één compleet pakket uitgebracht: de Monthly Rollup. Dit is het ‘verenigde’ aan de nieuwe aanpak.
Opstapelende patchproblemen
Verder worden hierbij ook nog eens alle voorgaande updates meegenomen in die ene, forse maandupdate. Dit is het ‘cumulatieve’ aan de nieuwe release-aanpak voor Windows-patches. De courante versie 10 van Windows heeft dit model al en het is tegenwoordig ook van toepassing op voorgangers 7 en 8.1, naast nog de huidige ondersteunde versies van Windows Server. Dit zijn Server 2008 R2 (Release 2), Server 2012 en Server 2012 R2. Er is wel een uitzondering: naast de Monthly Rollup brengt Microsoft ook maandelijks een non-cumulatieve update uit die enkel de securitypatches bevat.
Kritische beschouwers hebben toen bij de aankondiging van deze overgang al somber voorspeld dat dit patchproblemen kan opleveren. Indien een bepaalde update voor problemen bij gebruikers zorgt, kunnen zij niet die ene, zich misdragende patch deïnstalleren. In plaats daarvan moeten zij dan de overweging maken om te leren leven met de onbedoelde ‘bijwerkingen’ óf ze moeten de hele maandupdate deïnstalleren.
0-day met exploit
Deze laatste optie heeft dan ook weer serieuze gevolgen: alle securityfixes die kwetsbaarheden dichten of afdekken, zijn dan ook weg. Het is vervolgens wachten op de volgende maand om te zien of die cumulatieve patchronde dan een gepatchte patch voor de probleempatch brengt. Ondertussen blijven problemen en openstaande kwetsbaarheden dus aanwezig in het veelgebruikte besturingssysteem.
Ditmaal is bovenstaand securityscenario geen theoretische zaak. Windows heeft momenteel een kwetsbaarheid die én publiekelijk bekend is én waar ook exploitcode voor beschikbaar is om de kwetsbaarheid uit te buiten. Het gaat om een geheugencorruptiebug in netwerkprotocol SMB (Server Message Block), dat dienst doet voor bestandsdeling. Misbruik van deze bug leidt tot vastlopers, waarmee dit dus een zogeheten DoS-kwetsbaarheid (denial of service) is. Het advies is SMB uit te schakelen of te blokkeren voor onvertrouwde netwerken, zoals dus het internet.
Gaten galore
Let op: het volstaat niet om simpelweg SMB-verbindingen vanaf internet blokkeren. Ook uitgaand SMB-verkeer vormt een risico, aangezien deze kwetsbaarheid valt te misbruiken bij verbinding met een server. Hiermee zou Microsofts webbrowser Internet Explorer dus een indirecte route naar deze bug kunnen vormen, concludeert een lezer van technieuwssite Ars Technica. Het knowledge base-artikel van het CERT over deze bug waarschuwt ook dat er diverse manieren zijn om een SMB-verbinding ‘uit te lokken’, ook zonder gebruikersinteractie.
Maar het openstaande SMB-gat is niet de enige security-issue die nu aan de orde is. Het maandje uitstel heeft meer gevolgen dan de huidige 0-day, met openbare exploitcode. De gatenjagers van Google’s Project Zero hebben net een bug geopenbaard, compleet met PoC-code (proof-of-concept) waarmee deze kwetsbaarheid valt uit te buiten. De bug schuilt in Windows’ graphics-component GDI en is zo’n drie maanden geleden gemeld aan Microsoft, waarna de timer voor openbaarmaking is gestart.
Twijfel over build-systeem
Tot slot is er wellicht nog een ernstiger probleem, achter de schermen bij Microsoft. Het update-euvel van februari lijkt niet om een enkele brakke patch in de unified update te gaan. Microsoft-watcher Mary Jo Foley heeft van enkele anonieme bronnen te horen gekregen dat Microsofts Build-systeem voor patches mogelijk de oorzaak is voor het uitstel op Patch Tuesday van deze maand. In officiële reacties houdt de Windows-leverancier het bij de korte blogpost van 14 februari, met de aanvulling dat de februari-update is opgeschort naar 14 maart.