Microsoftin tärkein päivitystiistai

Eilen oli perinteiseen tapaan Microsoftin päivitystiistai, jolloin lukuisat sen tuotteet saavat mm. tietoturvapäivityksiä. Eilinen oli kuitenkin aivan erityinen päivityspäivä, jota hallitsivat tiettyjen käyttöjärjestelmien elinkaaren päivittäminen sekä erittäin kriittiset tietoturvapäivitykset jotka tehtiin Yhdysvaltain tiedusteluviranomaisen NSA:n vinkin perusteella.

Käyttöjärjestelmien hautajaiset

Eilen päättyi tuki Windows 7 ja Windows Server 2008-käyttöjärjestelmille eri versioineen. Käytännössä tämä tarkoittaa säännöllisten päivitysten lopettamista. Tuen loppuminen on ollut luonnollisesti tiedossa jo pitkään, mutta molempia järjestelmiä on edelleen käytössä Suomessa. Nyt onkin suositeltavaa siirtyä tuettuihin versioihin Microsoftin käyttöjärjestelmistä. Tietoturvapäivitysten puuttuminen heikentää käyttöjärjestelmien tietoturvaa ja siten koko organisaation turvallisuutta.

Lisäksi: ei ole hyviä syitä olla vaihtamatta! Etenkin Windows 7:n päivittäminen Windows 10:n on helppoa ja vieläpä ilmaista. Palvelinpuolella on ymmärrettävää, että migraatioon kohdistuu isommat huolet mutta homma on tehtävä joka tapauksessa, joten yhtä hyvin voi purra hammasta ja tehdä sen nyt.

On toki huomattava, että Microsoftilla on pitkä historia käyttöjärjestelmien tukemisessa virallisen elinkaaren lopun jälkeenkin. Tietoturvapäivitykset esimerkiksi XP:lle jatkuivat pitkään elinkaaren loppumisen jälkeen, ja vielä vuonna 2017 tuli ilmainen päivitys WannaCry-hyökkäyksen johdosta. Maksettu tuki jatkui vielä vuosia virallisen tuen loppumisen jälkeen, ja saattaa jatkua edelleenkin joidenkin asiakkaiden tapauksessa. Windows 7 saa samanlaisen tukipaketin, joka maksaa ilmeisesti joitain kymmeniä euroja per käyttöjärjestelmä per vuosi. Aivan katastrofista ei siis voida puhua, jos maksukykyä riittää.

Lämmin suositus on kuitenkin päivittää uudempiin käyttöjärjestelmiin nyt! Siitä on pelkkää hyötyä.

NSA:n outo peliliike

Eilisessä päivitystiistaissa paikattiin myös erittäin kriittinen haavoittuvuus CVE-2020-0601, joka koskee Windows 10 ja Windows Server 2016 & 2019-käyttöjärjestelmiä. Haavoittuvuus koskee crypt32.dll-moduulia, ja mahdollistaa luultavasti MitM-hyökkäyksiä esimerkiksi päivitysten lataamiseen. Haavoittuvuutta pidetään yleisesti ottaen sellaisena, jonka käyttö korostuisi etenkin valtiollisilla hyökkääjillä (kotikoneesi tuskin on vaarassa). Kaikki järjestelmät suositetaan kuitenkin päivittämään heti. NSA:n ja Microsoftin mukaan haavoittuvuutta ei ole vielä havaittu käytettävän.

Poikkeuksellisen tapauksesta tekee se, että haavoittuvuudesta ilmoitti Microsoftille NSA – ja että tämä tieto on julkista. Tämä on kenties ensimmäinen kerta, kun tiedustelupalvelu ilmoittaa julkisesti kertoneensa järjestelmävalmistajalle nollapäivähaavoittuvuudesta. Virasto on aiemmin saanut kyseenalaista julkisuutta jemmattuaan nollapäivähaavoittuvuuksia omiin tarkoituksiinsa – vaikka Yhdysvallat ei tietenkään ole ainoa valtio joka tällaista harrastaa. Nyt asiasta kuitenkin ilmoitettiin Microsoftille, ja mm. puolustushallinto sai oman päivityksensä jo etukäteen, mikä luultavasti kertoo tilanteen vakavuudesta. Harvinaista oli myös, että NSA:n johtaja piti aiheesta puhelun tiedotusvälineiden edustajien kanssa.

Mikä sitten johti näin poikkeukselliseen toimintaan? Heitän ilmaan erilaisia spekulaatioita joita on ollut ilmassa. Ei tiedetä kuinka kauan NSA on tiennyt tästä haavoittuvuudesta, joten voi olla että se on käyttänyt sitä ja tarve sille on loppunut tai se on ollut vaarassa paljastua. Voi myös olla, että NSA totesi että haavoittuvuuden aiheuttama uhka Yhdysvalloille ei ole siitä saatavan hyödyn arvoinen. Ehkä kyseessä oli puhdas hyväntahdonosoitus, tai sitten PR-temppu. Monimutkaisen haavoittuvuuden löytämisen julkistamisella on joka tapauksessa joku tietty syy, koska saman olisi voinut hoitaa ilman tietoa löytäjästä. Myös mahdollista ulkomaille suunnattua signaalivaikutusta NSA:n kyvyistä on spekuloitu syyksi julkisuuteen.

Oli miten oli, NSA:n ohje on asentaa kaikki päivitykset mitä Microsoft eilen julkisti päivitystiistaissaan. Painava ohjeistus, jota kannattaa noudattaa!


Kategoria Ajankohtaista