Microsoft heeft tijdens de patchdinsdag van juni opnieuw een noodpatch voor Windows XP uitgebracht, net zoals met de uitbraak van de WannaCry-ransomware het geval was. Dit keer worden de updates beschikbaar gemaakt om tegen mogelijke activiteiten van statelijke actoren te beschermen.

Microsoft spreekt zelfs van een verhoogd risico op destructieve cyberaanvallen. Het gaat om zowel nieuwe updates als updates voor oudere Windowsversies die alleen onder speciale onderhoudscontracten zijn uitgegeven en nu voor iedereen beschikbaar worden. Microsoft benadrukt dat de beslissing om updates voor Windows XP uit te brengen niet moet worden gezien als een breuk met het standaard ondersteuningsbeleid. "Gebaseerd op een assessment van het huidige dreigingslandschap door onze security-engineers, hebben we de beslissing genomen om de updates breder beschikbaar te maken", zegt Microsofts Eric Doerr.

Volgens de softwaregigant kunnen de verholpen kwetsbaarheden elk moment worden aangevallen. Het gaat om meerdere oudere kwetsbaarheden, bijvoorbeeld het lek waardoor de Confickerworm zich verspreidde. Daarnaast staan er ook verschillende kwetsbaarheden vermeld die CVE-nummers van dit jaar hebben. CVE-nummers worden gebruikt voor het identificeren van beveiligingslekken. CVE-2017-8543 (een lek in Windows Search), CVE-2017-8464 (een lek in het verwerken van LNK-snelkoppelingen) en CVE-2017-0222 (een lek in Internet Explorer), zijn voor het uitkomen van de update aangevallen, zo laten de beveiligingsbulletins weten. In dit geval is er sprake van zeroday-aanvallen. Het lek in IE was in mei al gepatcht, terwijl de kwetsbaarheden in Windows Search en het verwerken van snelkoppelingen nu zijn opgelost.

Via de kwetsbaarheden kan een systeem volledig worden overgenomen, bijvoorbeeld door een kwaadaardige snelkoppeling op een usb-stick te plaatsen. Zodra Windowsverkenner de snelkoppeling verwerkt wordt de kwaadaardige code uitgevoerd. Verder zijn er kwetsbaarheden in Edge, Office, Silverlight, Skype for Business en Adobe Flash Player gedicht. Microsoft stelt dat gebruikers van Windows 7 en nieuwer die automatische updates hebben ingeschakeld geen verdere actie hoeven te ondernemen en de updates automatisch ontvangen.

Update

Microsoft bevestigt tegenover ZDNet dat de Windows XP-updates zijn uitgebracht voor drie exploits van de NSA die in maart al in andere Windowsversies waren gepatcht. Het gaat om de exploits met de naam EnglishmanDentist, EsteemAudit en ExplodingCan die in handen van een hackergroep genaamd Shadow Brokers kwamen en in april openbaar werden gemaakt. Destijds adviseerde Microsoft gebruikers van Windows XP, Server 2003 en Vista om op een nieuwer platform over te stappen dat nog wel wordt ondersteund. Het beveiligingslek waar ExplodingCan gebruik van maakt was onafhankelijk van de openbaarmaking door Shadow Brokers ook door een andere onderzoeker gevonden en aan Microsoft gerapporteerd.