image

Microsoft adviseert installeren van beveiligingsupdates binnen 48 uur

donderdag 12 augustus 2021, 15:45 door Redactie, 30 reacties

Veel aanvallen met ransomware en andere vormen van malware zijn niet complex en maken gebruik van tools en exploits die al jaren bekend zijn, wat aantoont dat organisaties hun basale beveiligingsmaatregelen op orde moeten hebben en houden, zo stelt Microsoft. Eén van die maatregelen is het sneller installeren van beveiligingsupdates.

Volgens Microsoft zal volledige "patch coverage" binnen 48 uur de cybersecurity van een organisatie merkbaar verbeteren. Daarbij wordt aangeraden om servers zo snel mogelijk te patchen, met een focus op de belangrijkste systemen, zoals domeincontrollers. Naast updates voor besturingssystemen moeten ook de applicaties niet worden vergeten. "Het patchen van applicaties is net zo belangrijk", aldus het techbedrijf.

Daarnaast moet de blootstelling vanaf het internet worden beperkt, bijvoorbeeld via firewalls of het gebruik een vpn-verbinding die alleen via tweefactorauthenticatie werkt. Een ander bekend advies is het verminderen van het aantal gebruikers met bijvoorbeeld adminprivileges en andere hoge rechten. Om het aanvallen van systeembeheerders lastiger te maken kunnen organisaties ervoor kiezen om hen uit te rusten met aparte, extra beveiligde apparaten voor het uitvoeren van onderhoudswerkzaamheden.

Afsluitend wordt aangeraden om oude legacy systemen te vervangen en logbestanden te analyseren. "Als je het lastiger dan gemiddeld kan maken, zullen aanvallers met weinig vaardigheden vaak snel opgeven en een volgend doelwit zoeken. Een focus op de basismaatregelen draagt bij aan het beschermen van de meeste mkb-bedrijven", zegt Alan Johnstone van Microsoft.

Reacties (30)
12-08-2021, 16:15 door Anoniem
Misschien kunnen ze zelf het goede voorbeeld geven en beveiligingsupdates binnen 48 uur na het bekend
worden van security problemen beschikbaar maken voor de klanten? Ipv 1 keer per maand.
12-08-2021, 17:05 door Anoniem
Door Anoniem: Misschien kunnen ze zelf het goede voorbeeld geven en beveiligingsupdates binnen 48 uur na het bekend
worden van security problemen beschikbaar maken voor de klanten? Ipv 1 keer per maand.

+10

en het liefst dan ook nog een update die daadwerkelijk een fix is niet zoals dat nu met die printer nigtmare gaat en een tijdje geleden met exchange OWA!
12-08-2021, 17:13 door [Account Verwijderd]
Microsoft adviseert installeren van beveiligingsupdates binnen 48 uur
Jamaar, als je nu ver weg bent, op vakantie, wat dan? Vakantie afbreken en snel naar huis, er zit niets anders op, blijkbaar.
12-08-2021, 17:47 door Anoniem
Het is ook nooit goed (in reaguurderland)...

Ja, er zullen kwetsbaarheden zijn en ja, soms kan het heel lastig zijn om een fix te maken en testen en duurt het langer dan gewenst. Zeker als de software op honderden miljoenen systemen in bijna evenveel configuraties draait.

Verder is het gewoon zinnig advies in een wereld waarin cybercrime hand over hand toeneemt.

Kijk, nog iemand die hetzelfde roept:
https://threatpost.com/sap-patches-critical-bugs/168558/

"Experts urged enterprises to patch fast: SAP vulnerabilities are being weaponized in a matter of hours.
SAP has released 19 new and updated security patches, three of them rated as “HotNews” critical and six as high-priority."
12-08-2021, 19:10 door Anoniem
Het nadeel van dei windows updates,dat het vaak zo lang duurt.
Vandaag weer meerr dan 1 uur.
Dat is niet bevordelijk voor een consequent updaten.
Laat maar zitten denkt men een volgende keer,duurt mij te lang....
Dat had ik bij linux niet.
Ik ga nu sowiezo weer over op linux omdat ik geen nieuwe pc ga kopen voor dat windows 11
12-08-2021, 20:33 door passer
Door Anoniem: Vandaag weer meer dan 1 uur.
Hù ??? maakte ik nog niet mee - als het al eens (max!) 10 minuten duurt, vind ik het lang...
12-08-2021, 22:39 door Anoniem
48 uur dan moet er nogal wat veranderen in OTA processen.
Op mijn werk krijg ik alleen critical patches er binnen 48 uur door.
12-08-2021, 23:34 door Anoniem
Door Anoniem: 48 uur dan moet er nogal wat veranderen in OTA processen.
Op mijn werk krijg ik alleen critical patches er binnen 48 uur door.
Klopt, als er een nieuw element "tijdsdruk" bijkomt moet je wellicht processen aanpassen.
In veel organisaties worden bijvoorbeeld virus scanner signature updates niet eerst in eigen beheer getest maar gewoon
direct in productie geladen. Dat kan heel erg fout gaan, maar het risico om een paar dagen later pas je signature updates
in productie omgeving te hebben wordt gewoon te groot gevonden.
12-08-2021, 23:52 door Anoniem
Door Toje Fos:
Microsoft adviseert installeren van beveiligingsupdates binnen 48 uur
Jamaar, als je nu ver weg bent, op vakantie, wat dan? Vakantie afbreken en snel naar huis, er zit niets anders op, blijkbaar.

Als je geluk hebt kun je op afstand de boel patchen met die cvss3 >9.8 dan buit je de RCE uit en installeer je zelf gewoon de patch...
13-08-2021, 00:12 door Anoniem
Door Toje Fos:
Microsoft adviseert installeren van beveiligingsupdates binnen 48 uur
Jamaar, als je nu ver weg bent, op vakantie, wat dan? Vakantie afbreken en snel naar huis, er zit niets anders op, blijkbaar.
Dan staat je computer uit. En dat is voor een computer de veiligste toestand. Updaten doe je dan als je de computer weer aan zet.
Door passer:
Door Anoniem: Vandaag weer meer dan 1 uur.
Hù ??? maakte ik nog niet mee - als het al eens (max!) 10 minuten duurt, vind ik het lang...
Niet iedereen heeft een Fukagu of draai je een Linux?
13-08-2021, 08:18 door [Account Verwijderd] - Bijgewerkt: 13-08-2021, 08:19
Door Anoniem: 48 uur dan moet er nogal wat veranderen in OTA processen.
Op mijn werk krijg ik alleen critical patches er binnen 48 uur door.

Dan ben je dus het haasje (volgens Microsoft). Omdat ze hun spaghetticodebouwwerk niet meer kunnen onderhouden (of dat te duur vinden en er stagiairs opzetten) moet je als bedrijf je processen gaan aanpassen of je bent de klos. Microsoft bedankt :-(
13-08-2021, 08:35 door Anoniem
Door Toje Fos:
Door Anoniem: 48 uur dan moet er nogal wat veranderen in OTA processen.
Op mijn werk krijg ik alleen critical patches er binnen 48 uur door.

Dan ben je dus het haasje (volgens Microsoft). Omdat ze hun spaghetticodebouwwerk niet meer kunnen onderhouden (of dat te duur vinden en er stagiairs opzetten) moet je als bedrijf je processen gaan aanpassen of je bent de klos. Microsoft bedankt :-(

... hoe is dit een Microsoft-ding? In het huidige dreigingslandschap moeten patches van elke leverancier zo snel als kan worden geinstalleerd. Mooi voorbeeld kwam al eerder langs: https://threatpost.com/sap-patches-critical-bugs/168558/
13-08-2021, 09:15 door Ron625
Laat Microsoft dan eerst eens leren hoe je snel kunt updaten.
Nu gebeurt dat één keer per maand, waarom niet een update vrijgeven, zodra deze klaar is?
Nu laten ze ons eerst lang wachten en adviseren daarna om het binnen 48 uur te installeren!
Ze spreken m.i. zichzelf tegen.
13-08-2021, 09:25 door Anoniem
Door Ron625: Laat Microsoft dan eerst eens leren hoe je snel kunt updaten.
Nu gebeurt dat één keer per maand, waarom niet een update vrijgeven, zodra deze klaar is?
Nu laten ze ons eerst lang wachten en adviseren daarna om het binnen 48 uur te installeren!
Ze spreken m.i. zichzelf tegen.
Dit is gebaseerd op het misverstand dat de problemen die ze fixen niet bekend zijn bij de hackers, en dat pas op het
moment dat ze een fix uitbrengen die hackers aan het verschil tussen de vorige versie en de fix kunnen afleiden wat
het probleem was. Dat zou ze dan 48 uur kosten. Daarna gaan ze de systemen aanvallen die niet gefixed zijn.

Echter dat werkt allang niet meer zo, tegenwoordig staan de vulnerabilities gewoon inclusief de details op Twitter,
dus iedereen weet allang wat er fout is lang voordat de fix uitkomt. En de systemen zijn al die tijd kwetsbaar.
Het is nu een groot risico om te wachten tot de volgende maand. De fix voor de printproblemen die deze maand
uitkwam is nu al weer bekend als onvolledig, dus nu zitten we een maand met een risico tenzij men tussendoor nog
een nieuwe fix uitbrengt.
13-08-2021, 13:41 door Anoniem
Door Anoniem: ... tegenwoordig staan de vulnerabilities gewoon inclusief de details op Twitter,
dus iedereen weet allang wat er fout is lang voordat de fix uitkomt. En de systemen zijn al die tijd kwetsbaar.

Sommigen zijn zelfs zo bijdehand om dat soort Twitter berichten, met GIF animatie, op Security.NL te posten:

PrintNightmare 11-08-2021, 13:15 door Anoniem

https://www.security.nl/posting/716061#posting716097


Het is vandaag vrijdag de 13de, dus als je Windows nog niet hebt bijgewerkt dan ben je aan de verliezende hand.
13-08-2021, 16:34 door Anoniem
Probleem is vaker dat organisaties applicaties draaien die niet meegaan in de tijd, en die 48 never nooit halen. Microsoft zelf heeft er ook moeite mee (zie printers en Exchange).
En daar komt nog eens bij dat die applicaties binnen bedrijven vaak 24X7 beschikbaar moeten zijn. Als alles netjes in clusters draait en redundant is kun je misschien elke 48 update runs draaien zonder downtime voor de eindgebruikers. Maar je wil niet weten hoeveel kritische systemen niet voorzien zijn van redundantie op zo'n niveau. Als het bedrijf maar een paar keer per jaar of hooguit eens per maand een goedkeuring afgeeft voor een maintenance window, haal je die 48 echt nooit. De SLA's zijn dan gewoon veel te strak, want ze zijn opgesteld in een tijd dat er 6 updates per jaar uitkwamen bijv. Dit wordt wel steeds beter met moderne applicaties, maar er is nog zoveel ouwe meuk die gebruikt wordt.
13-08-2021, 19:14 door Anoniem
Door Anoniem: Probleem is vaker dat organisaties applicaties draaien die niet meegaan in de tijd, en die 48 never nooit halen. [...] Dit wordt wel steeds beter met moderne applicaties, maar er is nog zoveel ouwe meuk die gebruikt wordt.

Diemer Kransen (directie VNOG.nl), tegenover Huib Modderkolk in de Volkskrant:

"Zet op maandagochtend maar eens je servers een paar uur uit. Moet je kijken wat er dan gebeurt --- je wordt helemaal gek. [...] Nog zoiets: we hadden ergens oude software draaien waar niemand iets van begreep. Uiteindelijk was er één persoon bij KPN die wist hoe het werkte."

https://www.security.nl/posting/716315/Gelderse+Veiligheidsregio+overgestapt+van+WhatsApp+naar+Signal


Door Anoniem: Als het bedrijf maar een paar keer per jaar of hooguit eens per maand een goedkeuring afgeeft voor een maintenance window, haal je die 48 echt nooit.

Wij hebben hier een drietal redundante Debian clusters draaien voor ERP toepassingen, met een Linux kernel livepatch modus (vergelijkbaar met Ubuntu LTS, die deze truc ook kan). Nog voordat de redactie van Security.NL met slecht nieuws over Linux uit komt, zijn de systemen bijgewerkt. Dat is tenminste ons streven, en meestal slagen we daar in.

https://en.wikipedia.org/wiki/Linux_kernel#Live_patching
13-08-2021, 23:02 door Anoniem
48 uur krap om een gedegen test uit te voeren....
14-08-2021, 09:40 door Anoniem
Door Anoniem:
Door Anoniem: 48 uur dan moet er nogal wat veranderen in OTA processen.
Op mijn werk krijg ik alleen critical patches er binnen 48 uur door.
Klopt, als er een nieuw element "tijdsdruk" bijkomt moet je wellicht processen aanpassen.
In veel organisaties worden bijvoorbeeld virus scanner signature updates niet eerst in eigen beheer getest maar gewoon
direct in productie geladen. Dat kan heel erg fout gaan, maar het risico om een paar dagen later pas je signature updates
in productie omgeving te hebben wordt gewoon te groot gevonden.

ja en hoe stabieler en kwalitatiever en frequenter updates zijn die dan ook nog meestal geen reboot nodig hebben, dan veranderd je risico inschatting en maak je dankbaar gebruik van live patching. je schakelt dan zelfs over tot dagelijks automatische updates en herstarten van service indien nodig en ineens kom je in een wereld waarbij je over zero days of exploits leest en jij al een dag of drie al de patches en update live hebt.

N.B. die wereld is overigens geen droom. dat is een wereld waar ik al 15j professioneel in functioneer met hardware van gisteren tot 10j terug en tegen de 500 servers in beheer naast ander werk als (software) ontwikkelaar. elke audit tot nu toe hebben we ook met vlag en wimpel doorstaan, zeker op het technische vlak. ook geen 'incidenten' of 'dataleks' of 'ransomware' gehad de laatste 15j met logging en checks en offline 2e backup met history to prove that dmv sha1 sum van elke file! we deden zero-trust, agile, SIEM, intrusion detection (ook dmv file dagelijkse hash checks) en dat soort dingen al lang voordat ze die namen verzonnen hadden :).
14-08-2021, 10:14 door Anoniem
Door Anoniem: 48 uur krap om een gedegen test uit te voeren....
Het begint er mee dat je loslaat dat je voor iedere OS update eerst "een gedegen test moet uitvoeren".
Dat is zo 2000.
14-08-2021, 13:31 door Anoniem
Hù ??? maakte ik nog niet mee - als het al eens (max!) 10 minuten duurt, vind ik het lang...
Niet iedereen heeft een Fukagu of draai je een Linux?
Op een Linux PC met SSD is dit doorgaans hooguit een een paar minuten voor de installatie als je een kernel update hebt o.d.
Binnen een minuut gecheckt, gedownload en geïnstalleerd is eerder gebruikelijk en tevens nog acceptabel.

De methodes van Windows kan door een Linux gebruiker dan ook als tergend in tijdsduur, in aanloop resource intensief en dus boven de Windows gebruikers ervaring irritant worden ervaren met daarbij een gebrek aan een fatsoenlijke feedback van voortgang...

Van de zotte dat wanneer je Windows efficiënt/zijne altijd paraat wilt kunnen gebruiken zonder om de haverklap als een debiel naar een niets zeggende update animatie wordt geacht te staren voor onbepaalde tijd(zeker als je veel met VM's werkt), je dat kut OS geen daglicht(internet) moet gunnen, echter kan niet altijd alles in een apart offline netwerk hangen.
14-08-2021, 21:24 door Anoniem
Door Anoniem:
Door Anoniem: 48 uur krap om een gedegen test uit te voeren....
Het begint er mee dat je loslaat dat je voor iedere OS update eerst "een gedegen test moet uitvoeren".
Dat is zo 2000.
Vandaar al die ellende en OTA straten. Wel eens van CI/CD gehoord?
14-08-2021, 21:27 door Anoniem
Door Anoniem:
Hù ??? maakte ik nog niet mee - als het al eens (max!) 10 minuten duurt, vind ik het lang...
Niet iedereen heeft een Fukagu of draai je een Linux?
Op een Linux PC met SSD is dit doorgaans hooguit een een paar minuten voor de installatie als je een kernel update hebt o.d.
Binnen een minuut gecheckt, gedownload en geïnstalleerd is eerder gebruikelijk en tevens nog acceptabel.

De methodes van Windows kan door een Linux gebruiker dan ook als tergend in tijdsduur, in aanloop resource intensief en dus boven de Windows gebruikers ervaring irritant worden ervaren met daarbij een gebrek aan een fatsoenlijke feedback van voortgang...

Van de zotte dat wanneer je Windows efficiënt/zijne altijd paraat wilt kunnen gebruiken zonder om de haverklap als een debiel naar een niets zeggende update animatie wordt geacht te staren voor onbepaalde tijd(zeker als je veel met VM's werkt), je dat kut OS geen daglicht(internet) moet gunnen, echter kan niet altijd alles in een apart offline netwerk hangen.
De grote pre van windows is altijd gebruiksvriendeljkheid als je een transitie overweeg :) Wat een farce.
15-08-2021, 10:16 door Anoniem
De grote pre van windows is altijd gebruiksvriendeljkheid als je een transitie overweeg
En dan heb je nog de realiteit, waar Microsoft kunstmatig obstakels implementeert en handhaaft.
15-08-2021, 22:59 door Anoniem
Door Anoniem:
De grote pre van windows is altijd gebruiksvriendeljkheid als je een transitie overweeg
En dan heb je nog de realiteit, waar Microsoft kunstmatig obstakels implementeert en handhaaft.
Dat is kapitalisme in optima forma.
16-08-2021, 10:03 door Anoniem
Zijn de updates van Microsoft voldoende om hackers tegen te houden?
16-08-2021, 11:48 door Anoniem
Door Ron625: Laat Microsoft dan eerst eens leren hoe je snel kunt updaten.
Nu gebeurt dat één keer per maand, waarom niet een update vrijgeven, zodra deze klaar is?
Nu laten ze ons eerst lang wachten en adviseren daarna om het binnen 48 uur te installeren!
Ze spreken m.i. zichzelf tegen.
Dat is omdat er vanuit IT land geklaagd werd, toen ze dat deden. (windows 95?NT4 tijdperk). Allerlei grote bedrijven klaagden, dat ze in een ongunstig geval 5 keer in een week moesten updaten. Om het proces voor die bedrijven beheer(s)baar te maken is de patch-dinsdag ontstaan
16-08-2021, 14:48 door Anoniem
Door Toje Fos:
Microsoft adviseert installeren van beveiligingsupdates binnen 48 uur
Jamaar, als je nu ver weg bent, op vakantie, wat dan? Vakantie afbreken en snel naar huis, er zit niets anders op, blijkbaar.
Je kan je PC thuis gewoon uitzetten, voor je op vakantie gaat. Heb je tijdens die vakantie niet nodig. Je update maar als je terug bent en voor je er iets mee gaat doen.
18-08-2021, 07:26 door [Account Verwijderd] - Bijgewerkt: 18-08-2021, 07:48
Door Anoniem:
Door Ron625: Laat Microsoft dan eerst eens leren hoe je snel kunt updaten.
Nu gebeurt dat één keer per maand, waarom niet een update vrijgeven, zodra deze klaar is?
Nu laten ze ons eerst lang wachten en adviseren daarna om het binnen 48 uur te installeren!
Ze spreken m.i. zichzelf tegen.
Dat is omdat er vanuit IT land geklaagd werd, toen ze dat deden. (windows 95?NT4 tijdperk). Allerlei grote bedrijven klaagden, dat ze in een ongunstig geval 5 keer in een week moesten updaten. Om het proces voor die bedrijven beheer(s)baar te maken is de patch-dinsdag ontstaan

Nee! Dat klagen was een gevolg van:
- gebruik van inferieure software (spaghetticodebouwwerk) die steeds problemen geeft en updates nodig heeft;
- een brak en traag updatemechanisme;
- steevast moeten rebooten bij updates.

Door Anoniem:
Door Toje Fos:
Microsoft adviseert installeren van beveiligingsupdates binnen 48 uur
Jamaar, als je nu ver weg bent, op vakantie, wat dan? Vakantie afbreken en snel naar huis, er zit niets anders op, blijkbaar.
Je kan je PC thuis gewoon uitzetten, voor je op vakantie gaat. Heb je tijdens die vakantie niet nodig. Je update maar als je terug bent en voor je er iets mee gaat doen.

Ja, wat zou de wereld er anders uitzien als software voor lichte consumententoepassingen alleen door consumenten gebruikt zou worden. Helaas gaat het volgens Microsoft over gebruik in organisaties:

Volgens Microsoft zal volledige "patch coverage" binnen 48 uur de cybersecurity van een organisatie merkbaar verbeteren.

en daar wil de afdeling IT ook op vakantie kunnen.
18-08-2021, 23:00 door Anoniem
Ik adviseer microsoft,
- maak updates 10MB
- zorg er voor dat als je een 1GB update hebt, dat niet 10GB aan vrije disk ruimte wordt gebruikt
- zorg er voor dat je updates geselecteerd 1 voor 1 kunt downloaden en installeren.
- stop met outsourcen naar India
- zorg er voor dat je office applicaties individueel kunt installeren.
...
...
...
...
beter stop met windows, en maak een grafische gui op linux.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.