Zeer recent is de September Patch Tuesday uitgekomen die oplossing biedt voor een totaal van 81 geidentificeerde kwetsbaarheden. Het patchen van het besturingssysteem op zowel clients als servers verdient de prioriteit van elke IT-organisatie. Van de patches uitgebracht in September Patch Tuesday, worden volgens de Common Vulnerability Scoring System (CVSS score) 17 patches gedefinieerd als critical. De overige patches worden volgens de CVSS gedefinieerd als belangrijk.
Veelvuldig komt het voor dat de IT beheerders en -organisaties er voor kiezen om enkel die patches te testen en op te nemen in de update releases voor servers en clients die gedefinieerd zijn als critical. Omwille van een gebrek aan capaciteit worden patches die gedefinieerd zijn als belangrijk vaak uitgesteld dan wel uberhaupt niet getest en opgenomen in de update releases. Hier ontstaat de mogelijkheid dat het mis gaat.
Van de 81 oplossingen in de uitgekomen September Patch Tuesday, zijn er 2 gerelateerd aan Zero-day kwetsbaarheden. Een Zero-day (CVE-2019-1214) in het Windows Common Log File System-stuurprogramma biedt een aanvaller, die vooraf toegang tot het netwerk nodig heeft, een manier om bevoegdheden te verhogen door een speciaal vervaardigde applicatie uit te voeren. Dit beveiligingslek is van invloed op alle ondersteunde versies van Windows op de server- en clientzijde.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1214
Een andere zero-day (CVE-2019-1215) in het Winsock-component, geeft een indringer die toegang heeft verkregen met lokale authenticatie de mogelijkheid om code uit te voeren met verhoogde rechten. Dit beveiligingslek treft ook alle ondersteunde Windows op de server- en clientzijde.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1215
Beide kwetsbaarheden of beveiligingslekken, Zero-day (CVE-2019-1214) en (CVE-2019-1215), worden volgens CVSS gedefinieerd als belangrijk, niet als critical. Hierdoor dreigen ze niet de prioriteit te krijgen van IT beheerders en -organisaties, die ze weldegelijk verdienen. Het is belangrijk om niet alleen naar de ernstgraad en de CVSS score te kijken om te bepalen of de patch wel of niet wordt meegenomen in de update release, ook andere factoren spelen een belangrijke rol. Zo is het van belang dat er kritsch wordt gekeken naar het applicatielandschap en wordt beoordeeld wat de impact is van de security updates op het applicatielandschap.
Naast de September Patch Tuesday krijgen alle Windows-systemen een update voor de Service Stack. Microsoft geeft in een uitgebracht advies (ADV990001) aan dat voordat de laatst cummulatieve update wordt verricht, de voorgaande updates voor onderhoudsstacks zijn uitgevoerd.
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV990001
Het belang van de volgordelijkheid in uitvoering van patches, wordt ook door overeenkomstige Knowledge-Based artikelen onderschreven. Wordt de volgordelijkheid niet aangehouden dan is het gevolg dat beveilingsupdates niet correct arriveren en niet correct of helemaal niet worden geinstalleerd.
Het feit dat alle Windows-systemen deze update vereisen, wijst op een belangrijke wijziging van Microsoft, mogelijk komt deze al in de aankomende maanden.
IT-organisaties en beheerders moeten deze update bovenaan hun prioriteitenlijst plaatsen, doen ze dit niet dan zouden ze wel eens onaangenaam verrast kunnen worden wanneer Patch Tuesday uit komt en hun systemen geen beveiligingsupdates meer kunnen installeren.
Resumerend, kunnen we stellen dat een aantal zaken van belang zijn. IT beheerorganisaties dienen kritisch te kijken naar de uitgebrachte patches, te beoordelen wat de consequenties zijn voor de eigen applicatielandschap waarbij er verder wordt gekeken dan de CVSS critical gedefinieerde patches. Daarnaast dient de IT beheerorganisatie zich bewust te zijn van de volgordelijkheid welke nauwsluitend dient te worden gevolgd om beveiligingsupdates correct te laten landen. Dat gezegd hebbende blijft het uiteraard zo dat elke patch die wordt uitgebracht het belangrijk is dat deze wordt getest en gevalideerd alvorens deze wordt opgenomen in de update release voor servers en clients.
Wil je als IT-beheerorganisatie volledig up-to-date zijn waarbij updates vooraf getest en gevalideerd worden alvorens ze geautomatiseerd op je server infrastructuur landen? Zonder dat je voor onaangename verassingen komt te staan? Speciaal hiervoor bieden wij de solution: We OPTIMISE Your Infrastructure – Update Ready aan. Hiermee ben je verzekerd van de juiste prioriteitstelling binnen de beschikbare updates; houden we rekening met de juiste volgordelijkheid; worden de patches getest en gevalideerd alvorens deze geautomatiseerd op je server infrastructuur worden geïnstalleerd. Bovendien, houden we rekening met onderlinge afhankelijkheden van ketenapplicaties of -clusters bij geautomatiseerd updaten.
Met We OPTIMISE Your Infrastructure – Update Ready zorgen wij ervoor dat geidentificeerde kwetsbaarheden / beveiligingslekken op een zorgvuldig en snelle wijze effectief worden weggenomen. Wij nemen de verantwoordelijkheid voor gedegen Patchmanagement uit handen waardoor IT organisaties zich kunnen richten op activiteiten die bijdragen aan het primaire proces. Meer weten hoe wij ook uw IT beheerorganisatie kunnen ontlasten? Neem dan contact op via onze contact pagina
