Microsoft dicht twee Windows-lekken die door aanvallers worden gebruikt

Microsoft heeft tijdens zijn recentste patch tuesday twee lekken gedicht die door aanvallers worden gebruikt. Het gaat in beide gevallen om een lek dat het op afstand uitvoeren van code mogelijk maakt. In totaal dichtte het bedrijf 94 lekken.

Bij de lekken gaat het om CVE-2017-8543 en CVE-2017-8464, waarvan de desbetreffende pagina vermeldt dat ze momenteel door aanvallers worden ingezet. De eerste kwetsbaarheid is aanwezig in Windows Search en heeft te maken met de manier waarop de dienst met geheugenobjecten omgaat. Volgens Microsoft kan een aanvaller in een zakelijke omgeving het lek op afstand gebruiken door een speciaal SMB-bericht naar de Search-dienst te sturen en daarmee controle over een systeem te verkrijgen.

De tweede kwetsbaarheid heeft te maken met het verwerken van lnk-snelkoppelingsbestanden. Door een kwaadaardig lnk-bestand samen met een kwaadaardige binary te gebruiken, kan een aanvaller dezelfde rechten als de getroffen gebruiker verkrijgen en de zelfgekozen code in de binary uitvoeren. Beide lekken zijn aanwezig in verschillende versies van Windows, waaronder Windows 10, Windows 8.1 en Windows Server 2016.

Dinsdag maakte Microsoft al bekend dat sommige patches op XP- en Vista-systemen waren gericht. In een verklaring aan ZDNet zei het bedrijf dat deze ertoe dienden om overgebleven lekken te dichten die gebruikt werden in drie NSA-tools, die in april werden vrijgegeven door de Shadowbrokers. Het gaat om de tools Englishmandentist, Esteemaudit en Explodingcan. Eerder zei Microsoft dat het geen patches voor deze kwetsbaarheden zou uitbrengen.

Lees meer

IT-banen

Reacties (57)

Dyon_R
14 juni 2017 13:00

Ik vind het goed dat Microsoft wel patches uit brengt voor XP en Vista, maar aan de andere kant toch ook weer niet.
Ze hadden een lijn getrokken, en die liep tot 8 april 2014 (11 april 2017 voor Vista), iedereen weet dat als je na die tijd nog XP/Vista gebruikt dat je 'hackbaar' bent of wordt. Door steeds dit soort patches uit te brengen zorg je er toch juist voor dan mensen toch nog wat langer blijven hangen.
Is de userbase van Windows XP echt nog zo groot dat ze zich genoodzaakt voelen patches uit te brengen? Waarom doet Microsoft dit toch nog?
Edit: spelfout

[Reactie gewijzigd door Dyon_R op 14 juni 2017 13:23]

mmjjb
@Dyon_R • 14 juni 2017 13:08

Je zegt wel geen patches meer voor windows XP...

Maar vergeet niet alle embedded systemen die op windows XP embedded draaien.
De laatste versie van support van XP Embedded loopt tot "April 9, 2019".

Of te wel Microsoft moet hiervoor gewoon patches uitbrengen, dus als je dan toch al een patch voor XP E moet uitbrengen, dan maak je ook indirect al automatisch eentje voor XP

je wilt niet weten hoeveel xp machines we tegen komen... puur om de speciale rontgen software, patienten management software, tis best schrikbarend...

Zodra mensen XP horen is het altijd: "Wat een waardeloos ziekenhuis" "Kom op zeg, wat voor bedrijf gebruikt er nog XP" "Belachelijk, dat ze hun fabriek niet upgraden en nog op die oude zooi draaien"

Iedereen gaat er altijd klakkeloos vanuit dat ze de standaard XP draaien en dat maar moeten upgraden, terwijl deze embedded machines veelal gewoon de supported XP Embedded versie draaien

[Reactie gewijzigd door mmjjb op 14 juni 2017 13:13]

BugBoy
@mmjjb • 14 juni 2017 13:39

In de meeste gevallen betreft het gewoon kantoormachine's en is het vaak oude software, die niet compatible is met latere Windows versie, de oorzaak dat men niet upgradet. Je ziet ook wel eens gevallen, waarbij de IT afdeling het niet aandurft te upgraden. Soms is een deel van de kennis niet aanwezig en vindt men gewoon het risico te groot.

En als je als ziekenhuis een rontgenapparaat, zonder maatregelen in hetzelfde netwerk hangt als je kantoor PC's, dan ben je inderdaad nog steeds niet goed bezig.

SSDtje

@BugBoy • 14 juni 2017 17:36

(Dit stukje hieronder betreft niet embedded draaiende systemen, maar gewoon types die je kunt upgraden dus)

"In de meeste gevallen betreft het gewoon kantoormachine's en is het vaak oude software, die niet compatible is met latere Windows versie"

En nu snap ik dit best natuurlijk.
En is het dus vaak ook niet zo dat ze het niet willen, maar het puur om de door jou genoemde reden laten.
Waar ik op mijn beurt dan weer vaak bij denk van, oké prima, maar je kunt toch op een nieuw OS het oude gewoon virtualiseren, wanneer de oude software weer eens gebruikt moet worden.
En nu snap ik best dat dit voor een werknemer even wennen is, maar met een cursusje van een middagje moet dit toch wel een keer duidelijk te maken zijn aan de werknemers lijkt mij.
Maar volgens mij zie ik dit veel te zwart op wit, aangezien ik hier eigenlijk nooit wat over terug hoor bij dit type artikelen.
Dus mocht iemand hier een antwoord op hebben, dan hoor ik het graag.

[Reactie gewijzigd door SSDtje op 14 juni 2017 17:39]

BugBoy
@SSDtje • 14 juni 2017 18:16

Sommige mensen gaan al op tilt als er een icoontje iets anders uitziet of op een net wat andere plaats staat. Zaken die jou wellicht niet eens opvallen kunnen sommige werknemers al onzeker maken. En dat zijn lang niet altijd domme mensen. Veel (met name oudere) artsen zijn behoorlijk digibeet.

Als je systeem op het internet zijn aangesloten, dan moeten ze gewoon up-to-date zijn. Het is prima dat een bepaald apparaat achter loopt met security updates, maar zorg er dan voor dat die niet zomaar bereikbaar is vanaf het kantoornetwerk en dat je er niet mee op internet kan.

Vergeet niet dat sommige apparatuur gecertificeerd is en je niet zomaar de updates aan kunt zetten.

Pcfreakz
@BugBoy • 15 juni 2017 16:44

Wat jij schreef had ik op me samsung galaxy s7edge na update verandere bijna alles icoongroote kleuren formats.ik heb er moeite mee.maar bij windows kun je de design meestal terugvoeren naar oudere versies. Men vergeet in de wereld draaien de armere landen grotendeels op XP.ja angst speelt een rol hierbij. Onbegrip bij een nieuwe structuur maar eigenlijk verandert niets je kunt het zo leren.

Anoniem: 435630
@mmjjb • 14 juni 2017 16:24

Klopt, ik werk in de industriële automatisering en zaken als server draaien rustig nog 2003, HMI's (touchpanels) rustig nog op XP en zelf speciale industrie laptops nog op Windows 95. Gewoon omdat de industrie voor de lange termijn installaties neerzet, de hardware van hoge kwaliteit is en dus ook vaak gewoon heel lang meegaat.
Ook loop je er tegenaan dat er zeer veel specialistische software geïnstalleerd staat die alleen op het dat specifieke o.s. goed werkt.
Eigenlijk gewoon een drama dus vanuit het oogpunt van een beheerder...

[Reactie gewijzigd door Anoniem: 435630 op 14 juni 2017 16:25]

theduke1989
@mmjjb • 15 juni 2017 03:56

Dat ze support leveren is juist het probleem. Zodra ze geen support meer gaan leveren zullen de toeleveranciers het ook moeten aanpassen op een nieuwe systeem, in dit geval zou het logisch zijn om dan Windows 10 te gebruiken.

Dat er nog veel machines op oudere systemen draaien betekend niet meteen dat ze bij Microsoft langere support moeten leveren. Alleen doordat er zoveel op draait en er licenties worden uitgedeeld is het de schuld Microsoft.

Jeroenzer
@Dyon_R • 14 juni 2017 13:04

ik werk zelf in de dentale branche, geef daarin support aan tandarts praktijken en ook ziekenhuizen en je wilt niet weten hoeveel xp machines we tegen komen... puur om de speciale rontgen software, patienten management software, tis best schrikbarend...

The Zep Man

Netwerk en systeembeheer
Security

@Jeroenzer • 14 juni 2017 13:07

je wilt niet weten hoeveel xp machines we tegen komen... puur om de speciale rontgen software, patienten management software, tis best schrikbarend...

Het probleem is vaak niet technisch, maar organisatorisch. Zolang het werkt zal het nooit een hoge prioriteit krijgen om te verbeteren. Natuurlijk kost het geld, en dat had men gewoon in de afschrijvingskosten mee moeten nemen.

De overheid zou hier ook op in kunnen grijpen door het wettelijk vast te leggen dat de (semi-)publieke sector en kritieke infrastructuur beheerd door private partijen (waaronder systemen die persoonsgegevens verwerken) alleen mag werken met ondersteunde besturingssystemen. Er worden veel eisen gesteld aan de veiligheid van fysieke infrastructuur. Waarom niet digitaal?

[Reactie gewijzigd door The Zep Man op 14 juni 2017 13:11]

walteij

@The Zep Man • 14 juni 2017 13:16

Ik heb een tijdje in een ziekenhuis gewerkt. Veel software voor specialistische apparatuur is geschreven voor Windows XP en werkt simpelweg niet op Windows 7 (om nog maar te zwijgen over Windows 10).
We hebben het geprobeerd om de software voor specialistische oogmeetapparatuur op een Windows 7 machine te installeren, het lukte simpelweg niet.
De leverancier gevraagd of zij een nieuwe versie hebben die wel op een modern OS kon, kregen als antwoord dat 'er nog aan gewerkt wordt'.

Als oplossing dit soort machines maar in een VLAN zonder internet verbinding geplaatst. Een routering gemaakt naar een specifieke share, waar de afbeeldingen weggeschreven konden worden, zodat deze in het EPD konden worden opgenomen.

Ben daar nu al ruim 2 jaar weg, maar ik heb begrepen dat er nog steeds geen nieuwe software beschikbaar is.

Wim-Bart
@walteij • 14 juni 2017 14:12

Leveranciers zijn best wel toegefelijk als ze in de gaten hebben dat ze een hoop omzet gaan verliezen, in een aantal situaties hebben we het "niet meewerken" vrij simpel kunnen oplossen. Accountmanager uitnodigen voor een gesprek over bestaande software en verlengen van onderhoudscontracten. En er voor zorgen dat zijn directe concurrent op de zelfde ochtend/middag een afspraak heeft en dat deze twee accountmanagers elkaar niet kunnen missen wanneer 1 de meeting verlaat wanneer de ander reeds zit te wachten. Dat doet echt wonderen

walteij

@Wim-Bart • 14 juni 2017 14:15

Ja, dat zijn wel de tactieken die je dan moet gaan gebruiken.
Wel vervelend trouwens dat dat zo moet. Is liever niet de manier waarop ik zaken doe (maar dat weet jij geloof ik wel).

Wim-Bart
@walteij • 14 juni 2017 14:19

Ik weet het, maar je kent me, ik sta hier wat harder in. Leveranciers zijn nu eenmaal Evil en willen over de rug van instellingen geld verdienen want ze denken alleen maar aan hun bonus en denken gewoon: de belastingbetaler betaald toch wel. Daarom heb ik ook geen medelijden met die bedrijven. ik zeg maar zo, in een gezonde markt zijn er altijd meerdere aanbieders, dus laten we daar gebruik van maken.

walteij

@Wim-Bart • 14 juni 2017 14:30

Daarom ben ik zelf ook blij dat ik wat minder vaak aan een dergelijke onderhandelingstafel zit.
Laat mij maar fijn de uitvoerende/installerende/beherende macht zijn. Dat gaat me prima af en vind ik nog het leukst om te doen ook.

unclero
@walteij • 14 juni 2017 17:31

Ik heb op een blauwe maandag eens een klus gedaan bij zo'n bedrijf dat gespecialiseerde apparatuur maakte. Daar goldt toch van: "Windows 7+ driver? Nee, dan kopen ze maar de nieuwe versie van apparaat XYZ, die is wél vanaf de grond af ontwikkelt voor Windows 7+."
En ik snap dat ergens ook wel. Het is zonde om een hele hut vol zeldzame C++ programmeurs (die al niet de goedkoopsten zijn, om het maar even beleefd te zeggen) te laten werken aan een drivertje van (dit is niet een kwestie van hercompileren, maar een kwestie van opnieuw schrijven) een apparaat van 15 jaar terug. Dan steken ze die knaken liever in de ontwikkeling van nieuw spul. Terwijl ze ondertussen hopen op dat een van die programmeurs misschien nog een geniale ingeving heeft. Indien niet, pech gehad.

The Zep Man

Netwerk en systeembeheer
Security

@walteij • 14 juni 2017 13:19

Ik heb een tijdje in een ziekenhuis gewerkt. Veel software voor specialistische apparatuur is geschreven voor Windows XP en werkt simpelweg niet op Windows 7 (om nog maar te zwijgen over Windows 10).

Dus geen goede eisen gesteld tijdens het ontwerp/inkooptraject.

Ben daar nu al ruim 2 jaar weg, maar ik heb begrepen dat er nog steeds geen nieuwe software beschikbaar is.

Zolang het blijft werken zal je ook geen verandering zien.

walteij

@The Zep Man • 14 juni 2017 13:29

In 2004 werd er inderdaad niet echt gekeken naar de ondersteuning voor langere termijn. Dus ja, een fout gemaakt tijdens het inkooptraject.
Er is/was echter wel een onderhouds en support contract met de leverancier, waarbij ook updates/upgrades benoemd warden.
Jammer genoeg heeft de leverancier geen zin om een versie te ontwikkelen die op een modern OS geinstalleerd kan worden.

Over je laatste opmerking: De security officer was toch weer maandelijks aan het mopperen. Ook de CIO vond/vind het schandalig dat er nog zoveel XP werkstations in gebruik zijn/waren, zelfs op een afgeschermd VLAN.
De leverancier wordt dus met enige regelmaat lastig gevallen. Het ziekenhuis zelf wil namelijk wel zsm af van deze legacy software.

bigbadbull
@walteij • 14 juni 2017 13:48

of de software leverancier in onderaanneming is ondertussen verander / failliet en de nieuwe kan niet overweg met de oude of het kost hun gewoon teveel.
Fabrikanten hebben ook liever dat je de nieuwste versies van hun producten koopt.
Maar niet alle nieuwe versies bieden de mogelijkheden van de oude.
Denk maar aan windows 10, veel details zijn niet meer mogelijk of verstopt in de diepste krochten van het os.
Deze middag net ook nog het verhaal gehoord van onze provider dat een van zijn werknemers speciaal Wireshark versie 1.4 nodig had om het netwerk probleem te detecteren ook al is die versie van 2011, in de latere versies werd er namelijk 1 type packet niet getoond en sommige routers reageren daar raar op, met communicatie problemen tot gevolg.

qbig1970

@The Zep Man • 14 juni 2017 13:29

tot de zaak eens goed crashed!!! geen backups hebben enzo, dan moeten ze wel overstappen... net als bij de overheid!

Eigenlijk zou eens iemand op moeten staan en zeggen waar het op staat!

Edit:typo

[Reactie gewijzigd door qbig1970 op 14 juni 2017 13:59]

mjz2cool
@qbig1970 • 14 juni 2017 15:15

als ze dan geen backups hebben installeren/herstellen ze de boel gewoon en draait het weer.

Z80
@The Zep Man • 14 juni 2017 13:16

Aangezien MS de hele driver structuur en de manier van directe aansturing van de hardware heeft aangepast werken bepaalde apparaten niet meer in een nieuwere versie van het OS.
Nu kun je wel gaan roepen dat deze apparatuur vervangen had moeten worden. Maar wie gaat dit betalen? En kan een kleine praktijk of bedrijfje dan nog bestaan?

Wim-Bart
@Z80 • 14 juni 2017 14:16

Een beetje dev'er kan een driver voor interactie met de hardware best wel aanpassen. Bovendien lijkt het me stug dat de fabrikant bij nieuwe klanten aan komt met de melding, ja we verkopen die en die machine, maar die werkt alleen met Windows XP.

paradoXical
@Jeroenzer • 14 juni 2017 13:32

Ik heb op verschillende universiteiten gewerkt, en daar staat vaak meetapparatuur met custom systemen & software. Ik ben van alles tegengekomen, Windows 95, NT, 2000, MsDOS, verouderde Linux systemen.

Veelal wordt er een meting gedaan en dan worden de resultaten opgeslagen, geheel buiten het netwerk/internet om. Ik zie het probleem eigenlijk niet zo. Als het werkt dan werkt het.

Natuurlijk wel anders wanneer je je systemen aan een netwerk hebt hangen.

markwiering
@paradoXical • 15 juni 2017 14:14

Virussen en andere malware komen bijna altijd binnen via advertenties, dus als jij een advertentieblokkeerder installeert en vervolgens alleen bekende en veilige websites bezoekt, zoals Google, YouTube en VKontakte, zit jij denk ik zelfs met een Windows 2000 Professional machine wel veilig.

Aikon
@Jeroenzer • 14 juni 2017 13:12

Het is pas schrikbarend als die aan een netwerk of interzet zitten, tenzij ze extended support hebben gekocht. Een stand-alone XP-bak die een röntgen-machine aanstuurt lijkt me niet zo'n probleem. Ik weet niet welke situaties je precies tegenkomt?

The Zep Man

Netwerk en systeembeheer
Security

@Aikon • 14 juni 2017 13:14

Een stand-alone XP-bak die een röntgen-machine aanstuurt lijkt me niet zo'n probleem.

Dit soort uitzonderingen zijn het probleem waardoor oude besturingssystemen gebruikt blijven worden. Ja, nu draait hij even niet op een netwerk. Straks mogelijk wel, want ja... "Dat is toch eigenlijk wel handig (sneller) en vanzelfsprekend?!"

Eigenlijk zou je hiervoor een zero tolerance beleid moeten hebben. Er is geen geldig excuus. Als men niet kan upgraden, dan heeft men in de ontwerp- en implementatiefase niet naar de toekomst gekeken. Als geld een probleem is, dan zijn de afschrijvingskosten niet doorberekend.

Ik ben een voorstander van een organisatorische killswitch op besturingssystemen in professionele organisaties. Als de datum van ondersteuning is verstreken, dan is bijvoorbeeld de licentie niet meer geldig en mag je een bezoek van de BSA verwachten. Je hebt voor die tijd een aantal keuzes: uitfaseren, extended support kopen of upgraden.

[Reactie gewijzigd door The Zep Man op 14 juni 2017 13:18]

Aikon
@The Zep Man • 14 juni 2017 13:22

Waarom geld, energie en grondstoffen verspillen voor een hypothetisch probleem wat zich in de toekomst kan afspelen wat zich met een zelfde soort zero-tolerance beleid laat verhelpen? Als je XP kan verbieden zoals je voorstelt, dan kan je ook een XP-bak verbieden welke aan het netwerk verbonden is. Veel effectiever. Zelfde met je killswitch verhaal (waar ik geen voorstander van ben, maar dat terzijde).

The Zep Man

Netwerk en systeembeheer
Security

@Aikon • 14 juni 2017 13:26

Als je XP kan verbieden zoals je voorstelt, dan kan je ook een XP-bak verbieden welke aan het netwerk verbonden is. Veel effectiever. Zelfde met je killswitch verhaal (waar ik geen voorstander van ben, maar dat terzijde).

Het probleem is niet XP. Het probleem is het gebruik van niet meer ondersteunde besturingssystemen in professionele organisaties. De 'killswitch' waar ik naar refereer is ook organisatorisch, niet technisch. Er is altijd wel een reden om in een gesloten testomgeving voor legacy/onderzoeksdoeleinden een ouder besturingssysteem te gebruiken. Daarbuiten is er gewoon geen excuus.

Aikon
@The Zep Man • 14 juni 2017 14:52

Nogmaals; waarom geld, energie en grondstoffen verspillen voor een air-gapped XP (of idd eender welk niet-ondersteund OS) computer? In vrijwel alle gevallen voldoet een air-gapped pc direct aan alle veiligheidseisen.

Ramoncito
@Aikon • 14 juni 2017 15:37

Ik ben het daarmee eens, er zijn talloze simpele dingen te bedenken waarom je een oude PC met XP nog zou willen gebruiken zonder dat dit een beveiligingsrisico vormt. Denk dan bijvoorbeeld aan een oud systeempje opgezet om een miniatuurtreinbaan te besturen, plantjes water te geven (ik verzin maar wat) of als mediaspeler. XP kan superlicht draaien.

Voor het voorbeeld van röntgenfoto's vind ik het op zich ook geen probleem, zolang het formaat nog steeds wordt ondersteund en er een veilige manier van overdracht is. Proprietaire bestandsformaten zijn vaak het probleem bij dat soort apparatuur.

mjz2cool
@The Zep Man • 14 juni 2017 15:32

er zijn genoeg voorbeelden waarom xp gebruikt zal blijven worden.

als een machine doet wat ie moet doen, en er is geen alternatief die alles doet wat de machine moet doen, dan moet je wel, want als je dan de machine vervangt zodat je wel van windows xp af kunt, dan zit je met een beperkte machine.

xp machine zonder buitenverbinding en met eventueel extended support, geen probleem toch?

tenzij er iemand is die een oplossing bied voor al die gevallen waar xp gebruikt moet worden, zal xp gewoon gebruikt worden

Jeroenzer
@Aikon • 14 juni 2017 13:21

Bij ziekenhuis zie je wel dat zo een xp bak vaak geen externe verbinding heeft naar buiten echter alleen opgenomen is in het netwerk wat natuurlijk de risico beperkt maar we komen vaak genoeg tegen dat er specifieke software draait waar ook een database op draait met patient gegevens, denk aan sofi nummers, verzekering nummers etc.die wel gewoon verbinding naar buiten hebben...

en wat The Zep Man ook zegt vaak is het wel een koste plaatje maar in veel gevalle is het gewoon ook dat een stukkie software alleen nog draait op XP.

codebeat
@Jeroenzer • 14 juni 2017 19:52

Waarom is dat schrikbarend? Het werkt en daar gaat het om, don't change a winning team. Het systeem zal uitsluitend voor dat doeleinde worden gebruikt neem ik aan? Je gaat niet even je mail checken op zo'n apparaat als het rontgen software draait. Daarnaast, wat zijn de upgrade kosten? Wat kost die software en bestaat het al voor het nieuwe OS. En, zoals je weet kunnen er nog wel wat verschillen zijn tussen OS-en. Upgraden kan een risico zijn en de continuïteit in gevaar brengen, zeker als het heel bedrijfskritisch is. Dan is goedkoper om het op een andere manier te beveiligen, een externe oplossing bijvoorbeeld of gewoon niet mogelijk maken door functies uit te schakelen.

bastian433
@Jeroenzer • 14 juni 2017 23:26

De software is wat ik heb gezien anders ook erg armoedig (goed ik heb niet erg veel gezien...)
bv. Carestream Dental / Kodak CS7600 werkt niet eens onder een Citrix tenzij alles in dezelfde IP-range staat. Armoede!
Ben je over op Citrix, kun je nog weer losse pc's in stand gaan houden omdat de software/firmware niet meewerkt, of een nieuw apparaat kopen van 5000+ euro die het wel kan.
Firmware bijwerken van het apparaat? vergeet het maar zonder speciale dongel/training, laat staan dat er iets wordt bijgewerkt...

rud
@Dyon_R • 14 juni 2017 13:05

https://www.netmarketshar...aspx?qprid=10&qpcustomd=0

5,66% gebruikt nog XP. Het start daarmee op de 4e plaats, nog voor MacOS X 10.12 en Linux.

[Reactie gewijzigd door rud op 14 juni 2017 13:07]

Mic2000

@Dyon_R • 14 juni 2017 13:05

Het is niet particulier, maar vooral zakelijk. Er zijn systemen (parkeergarages, etc) die een systeem hebben dat in een XP-omgeving draait. Kunnen zeggen dat bedrijven hun apparatuur dan maar moeten vernieuwen is makkelijk gezegd, maar niet elk bedrijf heeft direct geld klaar staan om hun parkeergarage softwaretechnisch te vervangen. En al hebben ze het wel, betekent niet dat het dan ook gebeurd.

Als Microsoft dit niet doet en heel veel systemen gaan plat is dat mogelijk ook niet positief voor Microsoft haar imago, ongeacht dat het om verouderde software gaat. Aan de andere kant kan je het ook positief zien dat ze er wel iets mee doen om zo vertrouwen in hun systemen te behouden.

CAPSLOCK2000

Security
Netwerk en systeembeheer

@Dyon_R • 14 juni 2017 13:16

Waarom dit Microsoft dit toch nog?

Om rustig te kunnen slapen.

Hoe graag ik het ook anders zou zien, XP wordt nog op grote schaal gebruikt en het vervangen is niet altijd realistisch. Een flinke cyberaanval a la WannaCry kan talloze doden kosten en ons leven dramatisch verstoren. Ik ben er van overtuigd dat alle aandacht voor vliegtuigterroristen volkomen misplaatst is zolang iedere tiener met een computer hier doden kan laten vallen vanaf de zolder van z'n ouders. Sterker nog, ik denk dat het echt gebeurt en we het domweg niet beseffen. Niet rechtsstreeks (er worden zeg maar geen pacemakers gehacked) maar indirect wel. Er zijn talloze voorbeelden van industriele systemen die gekraakt en gemanipuleerd worden. Het kan haast niet anders dan dat er soms iets mis gaat met grote gevolgen. Motoren die op het verkeerde moment aan slaan, alarmen die niet af gaan, pompen die niet goed werken, etc....

Microsoft zal als geen ander inzien hoe veel XP nog gebruikt wordt op kritieke punten. Als MS rampen kan voorkomen met een relatief kleine investering dan zijn ze moreel verplicht om dat te doen. Ook financieel gezien lijkt het me goedkoper om het probleem nu maar op te lossen. Als iemand het in z'n hoofd haalt om MS aansprakelijk te stellen voor de gelede schade dan kost het ze een kapitaal aan advocaten en reputatie (of de klacht nu terecht is of niet).
Trouwens, ze moesten die patch toch wel schrijven, er zijn immers nog steeds organisaties die betalen voor support op XP. De patch was er dus toch wel, alleen heeft MS besloten om hem aan iedereen aan te bieden in plaats van alleen aan (bij)betalende klanten.

Wim-Bart
@CAPSLOCK2000 • 14 juni 2017 14:22

Misschien is het wachten tot er inderdaad doden vallen en wachten tot de instellingen die XP hebben draaien strafrechtelijk worden vervolgd wegens nalatigheid?

CAPSLOCK2000

Security
Netwerk en systeembeheer

@Wim-Bart • 14 juni 2017 14:33

Misschien is het wachten tot er inderdaad doden vallen en wachten tot de instellingen die XP hebben draaien strafrechtelijk worden vervolgd wegens nalatigheid?

Ik denk dat het daar inderdaad op gaat uitdraaien. Vroeg of laat gaan er doden vallen en zal iemand zich moeten verantwoorden. Ik ben wel een beetje bang dat de schuld komt te liggen bij de IT'ers die nu door hun bazen en de markt worden gedwongen om er potje van te maken. Niet dat alle IT'ers zo geweldig zijn als het op beveiliging aankomt, maar in vrijwel alle gevallen wordt het IT-beleid bepaalt door geld en gemak, niet door veiligheid.

Wim-Bart
@CAPSLOCK2000 • 14 juni 2017 14:58

Daarom is dossiervorming heel erg belangrijk. Bij mijn huidige klant is het zelfs zo dat er expliciet opdracht moet worden gegeven door een hogere manager dan de opdrachtgever, met goedkeuring door security afdeling en door hoofd informatiebeveiliging wanneer versies lager dan 2012R2 en Windows 10 worden geïnstalleerd waarbij alleen 2008 32-bit nog mondjesmaat wordt toegestaan voor 32-bit servers, maar 2008 64-bit al niet meer, voor 2008R2 is explicite toestemming nodig en voor niet Windows 10 versies is alleen Windows 7 (als het echt niet anders kan) toegestaan.

Het grappige is dat aanvragen voor oudere OS'en opeens niet meer komen nu de aanvragers persoonlijk verantwoordelijk worden gesteld voor schade en gevolgschade mocht een "legacy" OS de oorzaak zijn

mjz2cool
@Wim-Bart • 14 juni 2017 15:34

en waarom zouden die instellingen vervolgd moeten worden? als er geen andere optie is dan xp te gebruiken, dan is het toch de schuld van de leverancier van bijvoorbeeld software waar geen alternatief voor is?

Wim-Bart
@mjz2cool • 14 juni 2017 15:52

De Chinees wat in een mijn ergens in China de erts gedolven heeft voor een falende condensator in een medisch apparaat is toch ook niet verantwoordelijk.

De verantwoordelijke is de schakel waar de dienst is afgenomen.

Stel iemand ligt in het ziekenhuis. Door een hack, of verstoring in een beademingsapparaat draaiend onder XP komt de patiënt te overlijden. Dan is het ziekenhuis verantwoordelijk. En wel om de volgende redenen:

Dat het mogelijk was dat iemand bij het apparaat kon via het netwerk;
Er zijn alternatieven met een moderner (en misschien veiliger OS) die wel de laatste patches krijgt, alleen heeft het ziekenhuis er voor gekozen vanwege financiën om dit niet aan te schaffen.
Gezien de technische ontwikkelingen zijn heeft het ziekenhuis onvoldoende aangedrongen bij leverancier op vernieuwing.

Als vervolg zou het ziekenhuis dan ook uiteindelijk de schadeclaim richting haar leverancier kunnen doorschuiven wat een logische stap zou kunnen zijn. Helaas is hier nog geen jurisprudentie over, maar wat niet is kan nog komen.

Aan de andere kant zou ik persoonlijk vreselijk boos zijn op een instelling die door dit soort "slechte" bezuinigingen/kosten besparingen met levens speelt. Want aan de ene kant wordt er veel geld weg gegooid aan mooie marmeren tegels terwijl aan de andere kant er geen geld is voor gedegen IT systemen.

Zelf heb ik aan de IT systemen van een aantal ziekenhuizen mogen snuffelen (houden het even wat oppervlakkig, detail is niet noodzakelijk) en moet concluderen dat het daar allemaal prima in orde was. Aan de andere kant heb ik twee ziekenhuizen gezien waar ik niet betrokken was bij de interne IT waarvan ik dacht, mijn hemel, zo goed als het bij mijn klanten was, zo slecht is het hier waar ik klant ben. Maar tja, 1 van die slechte was ook negatief in het nieuws vanwege de hygiëne. https://www.antoniuszieke...-aandacht-voor-schoonmaak

mjz2cool
@Wim-Bart • 14 juni 2017 15:58

ik bedoel ook niet dat een instantie in geen geval vervolgt zou moeten worden, maar als ze xp moeten gebruiken, en die staat niet in een netwerk en doet gewoon wat ie moet doen, dan is er niks aan de hand. dan ligt de schuld alsnog niet bij die instantie, omdat er geen andere oplossing is, behalve die machine of dat stukje software niet te gebruiken, en dus datgene wat je daarmee bied niet meer kunnen bieden.
het heeft niet altijd met bezuinigingen te maken, en er wordt ook zeker niet altijd met levens gespeeld daardoor.

Wim-Bart
@mjz2cool • 14 juni 2017 16:48

Nee, in de zorg wordt over het algemeen niet bezuinigd. Alleen is de financiële stroom soms wat ondoorzichtig. Maar ik kan me best wel voorstellen dat er op management niveau harde keuzes gemaakt moeten worden. Ik kan me best wel voorstellen dat je een euro maar 1 keer kan uit geven en dat je dan wijs moet beslissen tussen:

Verplegend personeel salaris verhoging geven;
Apparatuur aan laten passen welke oude niet veilige OS gebruikt;
Chirurgen beter belonen;
Herinrichting van directievleugel omdat directie na 2 jaar is uitgekeken op marmeren vloer bij de lift en dat daarom hele vleugel maar verbouwd moet worden en worden ingericht.

Ik kan me dus best wel voorstellen dat na harde keuzes maken en veel stress momenten de directievleugel voor 10 miljoen wordt verbouwd en de chirurgen maar verhoging krijgen omdat deze anders gaan klagen.

Harde keuzes, harde keuzes.

O ja, dit was geen sarcastisch verhaaltje maar waar gebeurd.

Of maar niet te spreken over het gebeuren dat er bij een gehandicaptenstichtring geen € 150,00 over was voor een belangrijke upgrade, omdat de tapijtkleur in de directiekamer niet beviel en de verbouwing met € 25K duurder was geworden dan gepland.

[Reactie gewijzigd door Wim-Bart op 14 juni 2017 16:52]

Byron010
@Dyon_R • 14 juni 2017 13:42

Er zijn feitelijk nog veel belangrijke systeemen (vooral overheid, ziekenhuizen etc) die gewoon nog XP gebruiken. Daar gaat het upgraden niet zo simpel vanwege kosten (product + uren) maar vooral door de oude applicaties die niet altijd werken op een nieuw OS. Dat zijn dan applicaties waar ze niet zonder kunnen en er is dan geen budget om een nieuwe applicatie te laten maken (naast dat het veel tijd kost) + naar een nieuw OS te gaan.

Ik zie toch wel graag dat zulke instanties worden voorzien van patches ipv dat je ze lekker doelwit laat zijn omdat zie niet willen/kunnen upgraden.

Van de meer dan 35.000 pc's die de London Metropolitan Police in zijn beheer heeft, zijn er nog 27.000 die draaien op het zwaar verouderde Windows XP.

Linkje 2016

Voor de 5000 Windows XP-systemen die nog bij de Nederlandse Rijksoverheid in gebruik zijn wordt 1,7 miljoen euro betaald aan Microsoft. Het bedrag is voor ondersteuning van het uitgefaseerde besturingssysteem. Het gaat om systemen die continu draaien.

....

Microsoft heeft de kosten verhoogd nu het einde van Windows XP langer geleden is en partijen meer tijd hebben gehad om over te stappen.

Linkje 2015

Microsoft verdiend zijn geld wel terug hoor, zeker als blijkt dat een kwetsbaarheid in een nog wel "ondersteunde" versie van windows misbruikt wordt en dezelfde kwetsbaarheid ook beschikbaar is in XP. Oplossing heb je dan al, alleen nog toepassen.

Dennisdn
@Dyon_R • 14 juni 2017 13:55

Loop door een industriele omgeving en je ziet nu nog overal vierkante XP-schermen hoor. Om bijvoorbeeld machines en robots aan te sturen.

Maar ook de overheid gebruikt er nog genoeg. Ze betalen Microsoft jaarlijks een vermogen voor de ondersteuning. http://nos.nl/artikel/203...joen-voor-windows-xp.html

ArtGod
@Dyon_R • 14 juni 2017 14:58

Volgens mij zit Windows Search niet standaard in XP, dus je bent in dat opzicht veel minder kwetsbaar en dit is toch de meest gevaarlijke van de exploits.

De LNK bug vind ik zeer irritant want dit zit er al decennia lang in volgens mij. Het zou mij niet verbazen dat niemand binnen Microsoft nog naar de oude code kijkt.

OCU-Macs
@Dyon_R • 14 juni 2017 15:14

Ik heb zelf nog een (virtuele) Windows XP machine die ik voor migraties van een oude versie van onze integratie tool van tijd tot tijd nodig heb. Sommige klanten heb upgrades niet hoog op de prio lijst staan, en zo moet je af en toe wel eens terug grijpen naar een 'historisch' systeem zodra ze toch opeens naar de laatste versie toe willen en die in de oude versie voorbereid moet worden.

Fijn dat Microsoft ons hierin nog van een stukje bescherming voorziet. Het is geen prettig gevoel tegen wil en dank 'vogelvrij' te zijn, simpelweg omdat je je werk moet doen.

Daarom dus.

Aikon
14 juni 2017 13:13

Is de noodpatch voor XP voor 1 van deze 2 kwetsbaarheden of is dat nog niet bekend?

paella
@Aikon • 14 juni 2017 13:46

https://support.microsoft...dance-for-older-platforms

Lees about it hier

ArtGod
@paella • 14 juni 2017 14:56

Geeft een Not Found bij mij.

mjz2cool
@ArtGod • 14 juni 2017 15:11

bij mij niet

Skybuck
14 juni 2017 14:46

Microsoft begint een hoge prijs te betalen voor hun "feature"-gekte !

Meer features, meer potentie voor gaten ! =D

RobWu
@Skybuck • 15 juni 2017 12:12

<insert OS> begint een hoge prijs te betalen voor hun "feature"-gekte !

Of het nu een desktop of mobiel OS is, geen enkele programmeur kan een hack voorzien.
En wat nu veilig lijkt, kan over een jaar ineens een risico zijn.
Tegenwoordig is het ook vaak niet meer een 1op1 hack, maar een serie van hacks om binnen te komen in een systeem.

Dus om alleen MS hiervan te beschuldigen, is een beetje kort door de bocht.
En de zwakste schakel in het hele systeem zit nog steeds op die stoel..... ;-)

Skybuck
@RobWu • 17 juni 2017 03:19

Ik geef geen reet om andere OS-en. Hun martkaandeel is niehil op de PC, en mobieltjes is al helemaal for debieltjes.

En "deze zwakkel schakel", volgens een debiel als jij, zet wel mooi al die "features" uit waardoor mijn systeem nog steeds niet is gehackt ! zonder firewall, zonder virus scanner zonder malware scanner.

Alle debielen die die beveiligings shit installeren zijn wel al ge-owned omdat de beveilings shit niet veilig WAS LOLOLOLOL.

Nog meer features installeren debieltje(s) !

(Misschien had Microsoft bij Pascal moeten blijven in plaats van C/C plus plus troep vind mij eens een Delphi app met gaten ! :P* ben ik zeer nieuwsgierig na ! hahahaha).

Enigste punt wat je hebt is dit:

"En wat nu veilig lijkt, kan over een jaar ineens een risico zijn."

Shrinken van transistors blijkt risicos met zich mee te brengen.

[Reactie gewijzigd door Skybuck op 17 juni 2017 03:26]

RobWu
19 juni 2017 10:35

Thanks voor je constructieve reactie!
Ga ik zeker niets mee doen...... $_/-\o_$

Op dit item kan niet meer gereageerd worden.

Microsoft dicht twee Windows-lekken die door aanvallers worden gebruikt

Lees meer

IT-banen

Reacties (57)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden