Door Tijs Hofmans

Nieuwscoördinator

Feedback • 18-02-2023 06:0073

Windows 7-updates met 0patch

Oude patches, maar tegen welke prijs?

18-02-2023 • 06:00

73 Linkedin Whatsapp

Windows 7-updates met 0patch

Tegen het begin van dit decennium stierf het populairste besturingssysteem voor pc's. Windows 7 is nu dood, maar lang leve Windows 7! Tenminste, als je niet bang bent om wat externe software op je systeem te draaien die daar best vergaande rechten krijgt en waar je toch een zekere mate van vertrouwen in moet hebben. 0patch is een dienst die nog betaalde patches uitbrengt voor systemen die niet meer ondersteund worden. Ook handig: de updates komen, volgens het bedrijf dan, sneller binnen dan wanneer je op de gemiddelde softwarefabrikant moet wachten. De vraag is alleen: welk bedrijf durft het risico te nemen om dergelijke software te draaien?

Windows 7 mag je inmiddels gerust 'software van vroeger' noemen. Het besturingssysteem krijgt sinds 14 januari 2020 geen officiële beveiligingsondersteuning meer van Microsoft. Bedrijven die het OS alsnog per se nodig hadden of die misschien nog niet aan upgraden waren toegekomen, konden tot voor kort gebruikmaken van Extended Security Updates. Met dat betaalde pakket kregen ze drie jaar langer securityondersteuning, maar die stopte in januari van dit jaar. Windows 7 is daarmee niet meer veilig, behalve als je je durft te wagen aan alternatieve, externe diensten zoals 0patch, dat sinds de ESU-stopzetting plotseling populair werd.

Micropatchen

Een micropatch, dat is wat 0patch maakt. Dat zijn geen patches zoals je ze gewend bent, met nieuwe versies van executables of dll's, maar patches die alleen in het geheugen draaien. 0patch bestaat al een paar jaar, maar kreeg de afgelopen maanden bekendheid toen het bedrijf bekendmaakte tot januari 2025 ondersteuning voor Windows 7 en Windows 8.1 aan te blijven bieden. Ook biedt 0patch tot dat moment Edge-patches aan voor die besturingssystemen, uiteraard wel tegen betaling.

0Patch

Afgedankte software patchen is waar 0patch voornamelijk bekend mee werd, maar nieuwe patches voor verouderde software zijn slechts een deel van de usecase van de dienst, zegt oprichter Mitja Kolsek tegen Tweakers. "We patchen allerlei soorten code, dat kan ook gaan om bestaande kwetsbaarheden in moderne software waar op dat moment nog geen patch voor bestaat." Dat gebeurt via een tool, de 0patch Agent, die zijn tentakels diep in het besturingssysteem van een gebruiker heeft en constant aan moet blijven staan. De Agent belt vervolgens regelmatig met de servers van 0patch. Komt er software voorbij waarvoor 0patch een patch heeft, dan wordt die patch gedownload en vervolgens in het geheugen gedraaid om de gebruiker zo alsnog te beschermen, zelfs als de fabrikant die patch nog niet officieel heeft uitgebracht.

Zo makkelijk dat het saai werd

Kolsek is een van de onderrichters van het Sloveense securitybedrijf Acros, waar 0patch onderdeel van is. "Ik begon als beveiligingsonderzoeker in de tijd dat je nog aan responsible disclosure kon doen", vertelt hij. In 2023 ziet hij daar veel minder brood in; de markt is volgens hem zowat verzadigd, er zijn 'veel mensen' die ook naar softwarebugs zoeken en daar dan via een responsibledisclosurebeleid of een platform als HackerOne geld voor krijgen om zo een maandsalaris bij elkaar te freelancen. Kolsek vond dat maar niks, dus begon hij Acros. Hiermee deden ze voornamelijk pentests voor bedrijven die hen daarvoor inhuurden. "We gingen kwetsbaarheden zoeken, maar we kwamen vaak eenvoudig bij netwerken binnen, via kwetsbaarheden waar al vaak patches voor beschikbaar waren. Bedrijven installeerden ze gewoon niet. Het was zo makkelijk dat het eigenlijk saai werd. En dat was niet omdat we er zo goed in waren."

Microsot 7 ESUEen belangrijke reden dat bedrijven hun software vaak niet of nauwelijks patchen, is volgens Kolsek geen luiheid of gemakzucht, maar juist het tegenovergestelde. "De bedrijven waarmee we spraken installeerden patches niet omdat die in het verleden de productie stukmaakten", zegt hij. "Elke keer als we bij een bedrijf wisten in te breken via een ongepatchte machine, vroegen we aan de systeembeheerders waarom ze die patches niet hadden doorgevoerd. Het was elke keer hetzelfde verhaal: 'Het uitgebreid testen voor we een patch uitrollen duurt vaak lang en we hebben er in het verleden slechte ervaringen mee gehad.'"

Roll-outs die lang duren, bedrijven die niet meewerken... Dat is waarom 0patch begon met een alternatieve vorm van patchen. In tegenstelling tot wachten op het moment dat Microsoft of Adobe een nieuwe, gepatchte dll uitsturen tijdens hun maandelijkse patchronde, maakt 0patch softwarepatches die direct via een eigen client in het geheugen worden gezet. "Dat is niet heel inventief hoor, die manier van patchen bestaat al langer, maar we hebben het alleen commercieel succesvol weten te maken", zegt Kolsek.

Op zoek naar patches

Centraal in 0patch staat de 0patch Agent. Die tool maakt ieder uur verbinding met de servers van 0patch. Dat beheert een reeks aan patches van tientallen softwarepakketten en besturingssystemen. 0patch probeert patches te maken voor kwetsbaarheden die daarin zitten, maar verzamelt ook bestaande patches die het direct via de 0patch Agent kan uitrollen. Bedrijven hoeven zo niet te wachten op een maandelijkse patchronde. 0patch draait de patches in het geheugen en verandert de software op het systeem dus niet. Dat heeft ook het bijkomende voordeel dat de software niet eerst hoeft te worden gevalideerd, getest en uitgerold, maar de keerzijde daarvan is dat een bedrijf alleen beschermd is, zolang het de client actief blijft draaien.

Dat levert volgens Kolsek uiteindelijk patches op die in een van twee categorieën vallen. Aan de ene kant zijn er wat hij 'legacypatches' noemt: reparaties voor oude, niet meer ondersteunde software, zoals Windows 7 en 8.1. Daarnaast zijn er patches voor kwetsbaarheden van moderne software waar in sommige gevallen wel, maar net zo vaak ook nog geen patch voor is. Dat zijn bijvoorbeeld zerodays waarbij onderzoekers informatie over een bug online hebben gezet. 0patch-onderzoekers speuren het internet af naar zulke blogs en bouwen op basis daarvan een patch.

'Belangrijke' kwetsbaarheden

0Patch maakt patches voor 'belangrijke' kwetsbaarheden, maar dat is behoorlijk vrijblijvendDat is geen zaligmakende oplossing voor de beveiliging van een bedrijf. Je legt nogal wat eieren in een enkel mandje en je geeft de tool nogal wat verregaande rechten op een systeem. Daar komt nog eens bovenop dat je van 0patch geen enkele garantie krijgt dat je tegen alles beveiligd bent. Het bedrijf geeft namelijk updates voor, naar eigen zeggen, 'de belangrijkste kwetsbaarheden', zonder dat verder te specificeren. Daar moet je het dan maar mee doen als systeembeheerder.

0patch zegt dat het een team heeft van securityonderzoekers, maar het is niet alsof dat team ook speurt naar beveiligingslekken in Windows 7 en daar dan intern patches voor gaat schrijven. "Dat deden we vroeger nog wel, maar dat kostte ons veel te veel tijd", zegt Kolsek. De onderzoekers kijken volgens hem voornamelijk naar bestaand onderzoek van andere whitehathackers. "Stel dat er een onderzoeker een kwetsbaarheid vindt in Windows 10, dan kijken wij of die kwetsbaarheid misschien ook in Windows 7 zit." Volgens Kolsek is de belangrijkste bron van informatie voor patches dan ook 'gepubliceerd onderzoek', al heeft 0patch ook 'een breed netwerk aan onderzoekers' die hun werk ook privé delen met 0patch, maar Kolsek zegt niet hoe die verhouding precies is. "Soms komen die onderzoekers bij ons terecht omdat ze ontevreden zijn in hoe softwarefabrikanten met hun meldingen omgaan."

Arbitrair onderscheid

Met die methode lijkt het nogal arbitrair wat 0patch wel en niet kan patchen. Natuurlijk zijn er hier en daar wel openbare blogposts te vinden van beveiligingsonderzoekers die bugs in Windows vinden, maar veel kwetsbaarheden die tijdens een Patch Tuesday-ronde worden gerepareerd worden niet zo uitgebreid gedocumenteerd. En wat gebeurt er als een onderzoeker een non-disclosure agreement sluit met een bedrijf na een responsibledisclosuremelding of als een onderzoeker geen proof-of-concept uitbrengt van een kwetsbaarheid? Dat zijn oplossingen waarvan het moeilijk, of zelfs onmogelijk is voor 0patch om ze toe te passen.

Kolsek erkent dat. "We patchen niet alle kwetsbaarheden die er ooit zullen zijn. We kijken alleen naar wat er het waarschijnlijkst is om te worden uitgebuit." Toegegeven, 0patch erkent die willekeur aan patches ook op zijn website, maar toch biedt de dienst een nogal vrijblijvend aantal fixes aan om systemen veilig te houden. Dat zet 0patch in een rare spagaat; de klanten vinden veiligheid blijkbaar belangrijk genoeg om ervoor te betalen, maar kunnen ook leven met het feit dat sommige kwetsbaarheden simpelweg niet gepatcht worden. Als een bedrijf zoveel geeft om zijn veiligheid, zou het dan niet beter kunnen investeren in een sneller of beter patchproces?

0patch patches

Niet wachten op zeroday

Volgens Kolsek bevindt een groot deel van de klanten zich in het midden- en kleinbedrijf, en hebben ze daarnaast een handjevol thuisgebruikers en een aantal grote klanten, zoals internationale overheidsinstellingen, farmaceutische bedrijven en industrieën. Wie dat zijn, vertelt het bedrijf niet, al heeft het op de website testimonials van bedrijven in de ruimtevaart- en medische onderzoeksindustrie staan. "Doorgaans zijn dat klanten die een extra beveiligingslaag willen voor bijvoorbeeld zerodays. Ze willen daarbij niet wachten op een fabrikant, of als er een out-of-bandpatch komt, dan willen ze die snel geïmplementeerd hebben. Als ze het zelf moeten doen, kost ze dat veel tijd en geld." Maar daar staat dan wel tegenover dat ze met 0patch geen volledige garantie krijgen op veiligheid.

Dezelfde tegenstelling komt voor als je kijkt naar de rechten die de 0patch Agent krijgt op een systeem. De Agent kan geen executables aanpassen, maar scant wel lokale drives en software en moet om de zoveel tijd verbinding leggen met een server van 0patch. Het zijn best vergaande rechten en je kunt je afvragen of een bedrijf dat security belangrijk genoeg vindt om 0patch te gebruiken wel zoveel vertrouwen in een externe dienst kan hebben.

Net als endpointsecurity

Kolsek wuift die bezwaren weg en vergelijkt de tool met endpointsecuritysoftware zoals antivirus. "Software zoals Sentinel One doet precies hetzelfde. Wat er bij ons anders is, is dat 0patch alleen in het geheugen repareert en niet op het station zelf." Kolsek wijst er daarnaast ook op dat patches gesignd worden. Ook publiceert 0patch van sommige patches de code, zodat eindgebruikers zelf een patch kunnen nabouwen en de werking kunnen verifiëren. Of dat vaak gebeurt, is niet duidelijk. Bovendien gebeurt dat niet bij alle patches, maar bij een klein aantal. "In de toekomst hopen we dat proces te kunnen automatiseren", zegt Kolsek, maar het is niet duidelijk wanneer en op welke schaal dat dan zou moeten.

Supplychainaanvallen

NCSC-waarschuwing SolarWindsMet zo'n ingrijpende tool die veel aan een systeem kan veranderen, bevindt 0patch zich midden in een supplychain. Die bleken de afgelopen jaren erg interessante doelwitten voor hackers te zijn. Kijk maar naar de hack op SolarWinds of later die op Kaseya. Dat zijn andere bedrijven dan 0patch, maar de mogelijkheden om de 0patch Agent te misbruiken om toch flink wat schade aan te richten, ligt wel voor de hand. Het bedrijf is daar echter niet zo mee bezig, zegt Kolsek. "Je verrast me een beetje met de vraag", zegt hij. "Potentieel zijn we misschien een groot doelwit voor hackers, maar op dit moment denk ik niet dat we dat echt zijn. Misschien als we nog verder groeien... We zijn wel veel bezig met beveiliging: onze onderzoekers draaien hun browsers bijvoorbeeld allemaal in virtuele machines, maar als een nation state ons zou willen hacken, zou dat kunnen."

Kolsek denkt ook dat de aard van de tool anders is dan bij SolarWinds en dat 0patch daarom een stuk minder interessant is als doelwit. "De Agent heeft niet meer rechten dan bijvoorbeeld een tekstverwerker die op adminniveau draait. Alle software is op die manier even exploitabel."

Bannerfoto: Remitski / Getty Images

Lees meer

Microsoft voegt ondersteuning voor secure boot toe aan Windows 7
Microsoft voegt ondersteuning voor secure boot toe aan Windows 7 Nieuws van 11 januari 2023
0Patch belooft tot 2025 ondersteuning voor Edge-browser op oude Windows-versies
0Patch belooft tot 2025 ondersteuning voor Edge-browser op oude Windows-versies Nieuws van 7 januari 2023
Makers van 0Patch beloven nog tot januari 2025 ondersteuning voor Windows 7
Makers van 0Patch beloven nog tot januari 2025 ondersteuning voor Windows 7 Nieuws van 13 oktober 2022
Ongepatchte bug in Windows blijkt ook local privilege escalation te zijn
Ongepatchte bug in Windows blijkt ook local privilege escalation te zijn Nieuws van 30 november 2021
Beveiliging en antivirus Microsoft Windows Windows 7 Update

Reacties (73)

-Moderatie-faq
73
73
35
0
0
20
Wijzig sortering
consolefreak
18 februari 2023 07:44
Interessant artikel, ik kende de software nog niet. Deze applicatie kan een nuttig onderdeel zijn van je beveiligingsstrategie. Het zal alleen niet de volledige oplossing zijn.
vgroenewold
@consolefreak18 februari 2023 08:30
Ik denk dat je je toch behoorlijk achter de oren moet gaan krabben als je dit soort dingen nodig hebt om een systeem nog veilig te houden ipv te upgraden. Ik zou machines die vitaal zijn maar geen upgrade kunnen krijgen, volledig isoleren en van het internet halen.

[Reactie gewijzigd door vgroenewold op 18 februari 2023 08:30]

consolefreak
@vgroenewold18 februari 2023 08:35
Als je dat bij elke zero day doet waarvoor geen officiële patch beschikbaar is denk ik dat de business je snel terug gaat fluiten. Zeker als dit product je kritische bedrijfsvoering online kan houden zonder productieverlies tot aan je volgende onderhoudswindow.

Zoals ik al zei, het is niet heilig en geschikt om alleen op te vertrouwen. Maar als je risicogebaseerd werkt kan dit best een aanvulling zijn. Ik denk niet dat je dit moet gebruiken om kantoor werkplekken op Win7 online te houden.

[Reactie gewijzigd door consolefreak op 18 februari 2023 08:37]

DinX
@consolefreak18 februari 2023 09:07
Zelfs in kritische industrieën is dat nog altijd een keuze om Windows 7 (of oudere) machines online te laten. In 95 percent van de gevallen gaat dit louter over centen. Licenties van duizenden euro's, bedrijven die zeer gespecialiseerde toestellen aanbieden en eigenlijk bijna kunnen vragen wat ze willen, toestellen van tienduizenden euro's met unsigned drivers,...

Dat een eventueel lek of aanval tien tot honderden keren meer kost is hier waar het om draait.

Ik werk als netwerk- en security engineer in een ziekenhuis en samen met systems en de security officer worden deze toestellen gewoon van het netwerk gegooid, eventueel nog met een tussenstap via een file transfer bak met Secure Endpoint die enkel bereikbaar is via SFTP of FTPS waar deze bestanden dan eerst een scan krijgen.

De oude bak zelf zit in een aparte VRF achter de firewall die louter nog SFTP of FTPS toelaat naar die scan bak in de DMZ.

Als hierdoor een bepaald labo toestel of onderzoekstoestel niet meer werkt is het aan de business om een oplossing te zoeken, ook al kost dat tienduizenden euro's. De schade volgend op een eventuele aanval is nog tientallen keren groter in ons geval (nog los van het feit dat de cybersecurity verzekering dan ook een dikke vinger geeft als we komen aankloppen).

Bij ons hebben CSO en DPO verregaande bevoegdheid om dergelijke dingen te beslissen. Dan mag dokter X, professor Y of manager Z op hun hoofd gaan staan, ze komen er niet op.

[Reactie gewijzigd door DinX op 18 februari 2023 09:09]

Blokker_1999
@DinX18 februari 2023 09:53
Maak daar maar honderdduizenden tot miljoenen Euro van. En ja, dat komt dan nog steeds met een Windows 7 Ultimate. Heb ze ook al gezien in de industrie.

En ja, ook daar. Firewall ertussen en enkel het hoogstnoodzakelijke verkeer en enkel met andere systemen waar je mee moet kunnen communiceren wordt toegestaan.
the_stickie
@Blokker_199918 februari 2023 11:15
Het probleem met alleen het "hoogstnoodzakelijke verkeer" toelaten, is dat je daarmee meteen de kritische punten exposed. Als een applicatie poortje xxx nodig heeft, kan juist die applicatie kwetsbaar zijn, al was het maar voor DOS. Bovendien wil je wellicht wel enige vorm van remote beheer en security tools (AV, IPS/IDS, log aggregation,...) behouden, zeker op die kritische systemen. Dan wordt het sluiten van "de rest" algauw een doekje voor het bloeden. Meer nog, in geval van productie-kritische system kan je de vraag stellen of isolatie als niet 'in place' moest zijn op dag 1.

Versta me niet verkeerd: een firewall is een krachtige security tool en isolatie kan een goeie mitigatie zijn, maar het is geen wondermiddel om applicaties te beveiligen. een VLAN die enkel per VPN bereikt kan worden is ook een mogelijke oplossing (als die VPN niet vervolgens altijd open staat)

Op het eind komt het er altijd op neer dat de business denkt geld te kunnen besparen door niet op zoek te gaan naar alternatieven en daarom vervolgens bakken met geld moet uitgeven om mitigaties op te zetten en in stand te houden (als er al een degelijk security beleid is) en/of naar IT wijst als het fout gaat.

Imo is het aan ons, IT, om de case te maken en te zorgen dat er aan lifecycle managent gedaan wordt op het hele IT park. Dan is er dus budget of kan dat gemaakt worden voor het nodige onderzoek en uiteindelijk vervanging. Als het goed (utopisch :p) is, weet het mgmt al ruim op voorhand/bij implementatie dat er een vervangingskost op til is.
Dat zijn idd geen goedkope oefeningen, maar de vergelijking met een paar weken down en dàn een vervanging implementeren, is vaak/meestal genoeg om budget/medewerking te krijgen (desnoods volgend jaar). Zaak is dat uit de risicoanalyse moet blijken dat mitigaties het risico hooguit kunnen beperken van "zeer hoog" tot "hoog" :D
Als je dusdanig veel mitigeert dat het eigenlijk bijna veilig is, speel je het verhaal van de business alleen maar mee, en wordt het alleen maar lastiger om oude zooi uit je netwerk te weren. Oude zooi weren is niet alleen goed voor security, maar ook voor de algehele efficiëntie van IT

Een pijnlijke waarheid is jammer genoeg dat vendors (vooral in automation en equipment) vaak als uitgangspunt gebruiken 'het werkt, dus wat is het probleem?' en de hete aardappel maar al te graag elders leggen. "deze applicatie hoeft niet op het netwerk dus windows 7 is tolereerbaar", maar als die bak aan de andere kant van de wereld de geest geeft, moet ik er wel op één of andere manier aankunnen...
Blokker_1999
@the_stickie18 februari 2023 12:16
Ik denk dat je hier een belangrijk punt ontgaat.

Ik ben helemaal voorstander van goed lifecyclemanagement, ook op het gebied van software. Maar je hebt niet altijd die keuze. DinX heeft het niet over een desktop computer waarop een OS staat, maar over een machines die met voorgeinstalleerde software komen.

Bekende voorbeelden in ziekenhuizen zijn bijvoorbeeld de CT en MRI scanners. Apparaten die miljoenen kosten en waarbij je software krijgt waarvan de fabrikant aangeeft op welke OS versie het mag draaien. Maar diezelfde fabrikant gaat zeer zelden nieuwe software voorzien voor een nieuw OS. Je kan die wel kopen, maar je betaald daar opnieuw een atronomisch bedrag voor.

Ook in de industrie is dat schering en inslag. Grote, computergestuurde machines waarbij de aansturing gebeurd met een controller waarbij je bij het opstarten een Windows logo te zien krijgt. Heel leuk, totdat die Windows versie niet meer ondersteund wordt. Wat ga je dan doen? Opnieuw kan je niet zomaar beslissen om die Windows te upgraden. De software draait dan in een niet ondersteunde configuratie en de fabrikant zal je niet meer helpen bij problemen. Ga je heel je machinepark alweer vernieuwen?

Het probleem hier is net dat je hele dure machines koopt, de verkopers van die machines dondersgoed weten dat je geen keuze hebt en gewoon astronomische bedragen kunnen vragen voor een upgrade van de software. Een klein deel van de klanten doet dat ook effectief, de rest gaat mittigeren omdat dat gewoon goedkoper is en je ook een groot deel van het risico afdekt. De upgradepaden zijn er wel, maar zijn vaak niet economisch rendabel.
the_stickie
@Blokker_199918 februari 2023 12:43
Wees gerust, dat is me niet ontgaan ;)
Ik heb dergelijke scenarios al dikwijls meegemaakt, in verschillende sectoren. Vaak is er weinig wil om de impact van oude beslissingen te dragen, en is het wachten tot de boel afgeschreven is of om andere redenen aan vervanging toe is. Maar even vaak merk ik dat IT ook niet verder gaat dan klagen over de oude rommel. Een goede risicoanalyse op het bureau van de juiste mensen kan (soms?) veel veranderen.
Het kan die mensen niet kwalijk genomen worden dat ze hun job doen (op de centen passen).

Wat wél zeker kan (en meestal ook lukt), is huidige en toekomstige investeringen sturen zodat door contactuele voorwaarden of lifecycle management truukjes het wél duidelijk is voor de beslissingnemers dat het niet gaat om een éénmalige aanschaf die zomaar 10 jaar of meer aan de praat kan gehouden worden. Vandaar dat in medical, financial en zelfs industry het hoe langer hoe meer gebruikelijk is langlopende supportcontracten af te sluiten.
SirBlade
@Blokker_199918 februari 2023 15:59
Maar de leveranciers van dat soort machines hebben ook clausules in hun extreem dure support contracten opgenomen dat de support vervalt als de beheerder software installeert die zij niet hebben goedgekeurd. Het is al een heel gevecht om er een backup of monitoring agent op te krijgen. Antivirus alleen als je die praktisch beperkt tot on-demand scanning. De kans dat ze een tool als 0patch toestaan is nul.
divvid
@SirBlade18 februari 2023 20:21
Daarom is het goed om ICT en procurement al vroeg bij een grote aanschaf te betrekken en uograde mogelijkheden b.v. expliciet in de tender eisen op te nemen. Dat laatste wordt heel vaak vergeten
TTMJ!
@DinX18 februari 2023 11:40
Ik kan me niet voorstellen dat al deze moeite een aantal licenties waard is. Wat mis ik hier?

[Reactie gewijzigd door TTMJ! op 18 februari 2023 23:22]

theobril
@TTMJ!18 februari 2023 22:15
Geen idee wat je mist of over het hoofd ziet.
uiltje
@TTMJ!20 februari 2023 05:08
Je mist dat een systeem niet meer werkt met nieuwere software. Het is niet de licentie van de software zoals het OS, maar dat de applicatie die erop draait die het probleem vormt. Daarvan kan de aanpassing heel duur zijn of simpelweg niet (meer) mogelijk.

Ik zit in de security industrie, en heb ook meegemaakt dat een bepaalde beveiligde logon het process van Windows subtiel aanpaste. En dat werkt dan super, totdat er een Windows update komt die het breekt. Natuurlijk heb je dat soort software liever generiek en zonder dat soort trukjes, maar da's niet altijd mogelijk.

Of het is wel mogelijk maar de software maker is gewoon lui en gelooft het allemaal wel. Heel veel Java applicaties worden geleverd met een Java runtime... yuk.
divvid
@DinX18 februari 2023 20:16
Enige goede methode.
Linux gebruiker
@DinX19 februari 2023 10:04
Zelfs in kritische industrieën is dat nog altijd een keuze om Windows 7 (of oudere) machines online te laten. In 95 percent van de gevallen gaat dit louter over centen. Licenties van duizenden euro's, bedrijven die zeer gespecialiseerde toestellen aanbieden en eigenlijk bijna kunnen vragen wat ze willen, toestellen van tienduizenden euro's met unsigned drivers,...
Zijn die bedrijven niet bereid om mee te denken, werken om door hun geleverde, ontwikkelde apparatuur te updaten zodat je steeds met ondersteunde (veilige) software aan het werk bent.
Is daar geen regelgeving voor dat fabrikanten verplicht zijn er voor te zorgen dat dure apparatuur veilig blijft?
moredruid
@Linux gebruiker19 februari 2023 13:48
Verplicht (nog) niet. Aan de andere kant: elke software upgrade die voldoende ingrijpend is moet worden goedgekeurd door o.a. de FDA, dat proces neemt zo’n 3 maanden in beslag. Dus van responsible disclosure van een 0day naar risico-analyse naar approval van de product owner naar ontwikkeling naar testing naar goedkeuring (en qa van de FDA) naar release naar inplannen en uitvoeren van de installatie voor de klant ben je al gauw bijna een jaar verder en dat is vrees ik nog optimistisch. En dat voor 1 generatie van je productlijn.
Linux gebruiker
@moredruid19 februari 2023 16:34
Verplicht (nog) niet. Aan de andere kant: elke software upgrade die voldoende ingrijpend is moet worden goedgekeurd door o.a. de FDA, dat proces neemt zo’n 3 maanden in beslag.
Als de FDA deze upgrade moet goedkeuren ga ik er vanuit dat je met Amerikaanse apparatuur te maken hebt, of geld dit ook voor bijvoorbeeld uit Duitsland, Japan komende apparatuur?
moredruid
@Linux gebruiker24 februari 2023 10:20
Alle medische apparatuur die op de Amerikaanse markt wordt verkocht moet worden gekeurd door de FDA. Dat geldt in principe voor alle markten, je zult overal moeten voldoen aan de daar geldende eisen (de EU heeft een deel geharmoniseerd). In de VS is er veel meer een cultuur van aanklagen als er iets mis gaat, dus je probeert je zoveel mogelijk in te dekken (Philips, ik kijk naar jou met je slaapapneuapparaat). Over het algemeen wordt de FDA richtlijn aangehouden voor de globale markt, dan zit je al voor 95% goed. Daarentegen weegt privacy veel zwaarder in de EU en Skandinavië en zul je in die regio's daar dus rekening mee moeten houden.

Die verschillen in regelgeving zie je ook in de autoindustrie. Zoek maar eens op crash safety USA vs Mexico. De fabrikanten geven aan dat ze voldoen aan de lokaal gestelde eisen maar je schrikt van de verschillen in veiligheid (NCAP 4 sterren tegen 0), gewoon omdat je aan de ene of de andere kant van een stippellijntje op de kaart woont.
Blokker_1999
@consolefreak18 februari 2023 09:50
Bij een 0-day zal men meestal heel snel de nodige mitigatie mogelijkheden hebben en zal je antimalware software ook zeer snel de nodige definities hebben om malware te stoppen die het probeert te misbruiken.

Ik zou ook nooit een process dat al dagen of weken staat te draaien zomaar patchen, het process zal je toch echt moeten herstarten. Zonder enige downtime is dus al niet het geval, al zal de impact iets kleiner zijn.

Maar nu de hamvraag: waarom zou jij een patch vertrouwen die geschreven is door een bedrijf dat de originele broncode van de software niet heeft, dat als doel heeft die patch zo snel mogelijk uit te duwen zonder eerst grondig te testen of die wel goed werkt. Riskeer je daarmee niet opnieuw dat je net problemen gaat krijgen?

Als dat je strategie voor beveiliging is, dan heb ik niet veel vertrouwen in de beveiliging om eerlijk te zijn.
Fiander
@vgroenewold19 februari 2023 12:22
Ik krab mij juist achter de oren bij deze opmerking in het artikel:
Dat heeft ook het bijkomende voordeel dat de software niet eerst hoeft te worden gevalideerd, getest en uitgerold,
vooral omdat deze tool ook op moderne OSen gebruikt kan worden.
Ze passen op de achtergrond code aan. Waarom zou dat niet getest moeten worden?
bij banken en medische systemen moet elke wijziging getest en beproefd worden. ongeacht hoe die wijziging plaats vind.

leuk dat er een juridisch gat gevonden is: op disk wijzigen de dlls niet, maar de applicatie draait niet meer de code die getest is.
HollowGamer
@consolefreak18 februari 2023 09:41
Ik denk persoonlijk niet dat deze software past binnen een beveiligingsstrategie. Het probleem is namelijk dat deze in feite draait als root op het OS, wat ook weer de weg opent naar andere gevaren.

Het doet mij denken aan die anti-cheat tools die ook op kernel niveau draaien en in feite je hele memory kunnen scannen en zelf exploits kunnen openzetten.

Het probleem is ook dat Windows closed source is, je zult nooit de echte bron aanpakken, maar er meer een pleister bovenop plakken. Het is alsof de waterleiding stuk is, maar je plakt er iets bovenop zodat er enkel nog maar druppels uitkomen.

Een goede strategie is updates installeren, snapshots zodat je terug kan gaan bij problemen en software gebruiken die flexibel is daarin (losstaande database bijvoorbeeld). Dat lost je niet op door jaren te draaien op een verouderd, onveilig OS/software.

Voor opensource zou ik het nog enigszins begrijpen, je weet namelijk wat het doet en welke extra maatregelen je moet nemen. Bij closed source zet ik hier mijn vraagtekens bij.
consolefreak
@HollowGamer18 februari 2023 11:03
Ik vind het knap dat je voor alle bedrijven en instanties met elk hun eigen wensen en invulling voorsteld dat het niet past. Zullen al hun klanten per definitie een verkeerde beslissing maken?

Zoals ik aangaf is risicogebaseerd denken belangrijks, daar hoort ook nadenken over de applicatie en leverancier ook bij. Deze applicatie een van de gereedschappen die in een gereedschapskist kunnen zitten. Een hamer is ook niet altijd de ideale oplossing, maar om m dan als timmerman überhaupt niet in je gereedschapskist te willen hebben vind ik niet getuigen van een goede strategie.
TheVivaldi
@HollowGamer18 februari 2023 12:29
Dus je hebt liever dat de kelder onder water loopt omdat je de waterleiding niet wilt afplakken totdat er een betere oplossing is?
consolefreak
@TheVivaldi18 februari 2023 16:04
Wat ik aangaf is dat je beter ook een waterpomptang in je gereedschapskist kan hebben dan alleen een hamer. Als de situatie zich voordoet weeg je risicogebaseerd af wat je toepast.

[Reactie gewijzigd door consolefreak op 18 februari 2023 16:17]

HollowGamer
@TheVivaldi18 februari 2023 16:08
Nee, ik had die waterleiding (laten) vervangen. :)

Dus in dit geval een oud OS te upgraden naar iets dat wel onderhouden wordt.
Fiander
@HollowGamer19 februari 2023 12:25
oke, dus jij gaat elke paar jaar de MRI scanner, of welk stuk meet apparatuur dan ook vervangen?
Want dat is gewoon het probleem. Aan de pcs welke niet vervangen kunnen worden zit vaak erg specialistische hardware.
dezwarteziel
@HollowGamer19 februari 2023 19:28
Voor opensource zou ik het nog enigszins begrijpen, je weet namelijk wat het doet en welke extra maatregelen je moet nemen. Bij closed source zet ik hier mijn vraagtekens bij.
OSS bevat net zo goed 0 day kwetsbaarheden. De Linux kernel had in 2020 27.8 million regels code. Het feit dat de bron code bekeken kan worden wil niet zeggen dat men "weet wat het doet".
Rukapul
@consolefreak18 februari 2023 11:22
Om te bepalen of het nuttig is moet je weten waar je tegen beschermt en waar niet. En daar ligt juist het probleem van deze aanpak: het patch een aantal arbitraire zaken maar veel meer juist niet.

Sterker nog, het geeft gebruikers een vals gevoel van risicoreductie. Na afloop van de support periode van gesloten software wordt namelijk ook de informatie over kwetsbaarheden en risico's veel minder (Microsoft zal bij een kwetsbaarheid voor Windows 11 niet aangeven dat Windows 7 ook kwetsbaar is, idem voor veel CVEs).

Je weet dus ook niet of je bijvoorbeeld een 'veilige' IP stack, SMB of RDP krijgt. Je krijgt 'iets'. Terwijl dagelijks in nieuwere OS-en stilletjes kwetsbaarheden worden verholpen als normaal onderhoud.

Het is de schaalbaarheid waar dit concept faalt.
consolefreak
@Rukapul18 februari 2023 16:17
Het eerste deel wat je zegt komt overeen met wat ik zei, risicogebaseerde aanpak. Ik lees vervolgens dat je niet kan bepalen welke micropatch voor welke kwetsbaarheid je toestaat. Ik wist dat niet en heb de user manual van 0patch nageslagen en je kan inderdaad alleen aangeven of je een applicatie wil patchen, niet welke kwetsbaarheid. Dat is niet wat ik verwacht van een volwassen product. Dat maakt de inzetbaarheid ook een stuk minder en een minder bruikbare tool. Hopelijk ontwikkeld het productnog meer in de toekomst zodat het daadwerkelijk inzetbaar is.
Chocomel_Deluxe
@consolefreak18 februari 2023 12:46
Inderdaad, het concept is interessant.
Wat ik een beetje mis is hoe ze die patches maken; ik neem aan dat ze geen source code hebben van de applicaties of windows zelf.
Reverse engineeren ze dat of hebben ze een andere mannier?
divvid
@consolefreak18 februari 2023 20:07
Twee werkgevers geleden introduceerde ICT de Win10 desktop. Alle software die stuk ging, maar bedrijfskritisch was kreeg prio 1, dwz asap compatibel maken of alternatieve software uitrollen. We schreven toen eind 2015. Veel gesputter hoor van diverse bedrijven, maar managers die nog software wilden blijven gebruiken die alleen onder win7 draaide kregen gewoon minder budget. Dat stimuleerde veel creativiteit om een alternatief te bedenken.
Eind 2017 was echt bijna alles up to date of vervangen, waarbij soms echt afscheid is genomen van leveranciers. Destijds kostte dat soms een beetje geld, maar het heeft zich in de loop der jaren DIK terug verdiend.

Software ala 0patch is geen vervanging voor een solide beveiligingsstrategie of jailen van ongepatchte, maar noodzakelijke systemen.
chow
18 februari 2023 06:30
"Elke keer als we bij een bedrijf wisten in te breken via een ongepatchte machine, vroegen we aan de systeembeheerders waarom ze die patches niet hadden doorgevoerd. Het was elke keer hetzelfde verhaal: 'Het uitgebreid testen voor we een patch uitrollen duurt vaak lang en we hebben er in het verleden slechte ervaringen mee gehad.'"
1. Kunnen micropatches productie dan niet breken?

2. En alles draait in het geheugen. Dus als het systeem reboot of herstart dan moeten alle (geen idee of het er op een gemiddeld systeem veel of weinig zijn) opnieuw geladen worden. Hopelijk moet niet eerst weer alle software herscandworden.
3. En loopt het geheugen hierdoor op een gegeven moment niet vol? Micropatches zullen waarschijnlijk niet al te omvangrijk zijn, maar afgaande op de titel van dit artikel ligt de focus heel erg op oudere besturingssystemen met navenant passende beperktere resources.
LOTG
@chow18 februari 2023 07:54
Ik snap de vaker aangehaalde motivatie ook niet. We hoeven niet te testen want de patch draait in het geheugen?

Ja een rollback is makkelijk door een reboot en de patch niet te laden, maar het kan nog steeds je productie systeem slopen.

Sowieso zit je in het geheugen te rommelen op plekken waar een bug een bluescreen triggered.

Leuk marketing praatje maar als je zo maar blind vertrouwt op een tool die zelf patches in het geheugen kan laden die hij zelf download snap ik niet dat je niet gepachte systemen had.

[Reactie gewijzigd door LOTG op 18 februari 2023 07:57]

Caelorum
@LOTG18 februari 2023 08:32
Op zich kan ik het me voorstellend at je het koppelt aan andere metrieken van de applicaties die kritiek zijn. Zie je dan een verslechtering, kan je automatisch de laatste micropatch terugdraaien zonder reboot.

Niet dat ik snel zo'n systeem zou gaan gebruiken, maar ik zie wel scenario's waarin het handig zou kunnen zijn. Zolang je de tool ook toegang tot bepaalde zaken kan ontzeggen. En dat lijkt er niet op.

[Reactie gewijzigd door Caelorum op 18 februari 2023 08:33]

bwerg
@Caelorum18 februari 2023 08:46
Dus dan draai je het terug, en dan? Heb je alsnog een kwetsbaar systeem. Welk probleem heb je dan opgelost?

Bovendien, "metrieken van je applicaties die kritiek zijn", bij een serieuze applicatie is dat zo ongeveer je hele applicatie dus het is niet alsof je even een dashboards bekijkt en het is goed. Bij de gemiddelde library-upgrade zul je normaliter toch gewoon de changelog door moeten spitten om te kijken of er risico is.
Caelorum
@bwerg18 februari 2023 09:12
Metrieken van kritieke applicaties. Dat zullen niet allen zijn. Daarnaast zijn ook niet alle metrieken even belangrijk.

En inderdaad dan draai je die ene patch terug voor die ene server waar die ene applicatie sop staat die anders faalt. De andere 100 server ofzo kan je laten staan. Dan heb je toch nog steeds winst?

Want wat is het alternatief? Dat je alles ongepatched laat totdat iemand er eindelijk aan toe komt? Of dat je je proces aanpast wat in de meeste omgevingen nog langer doet, als het al mogelijk is?

En hoezo zou even in een dashboard kijken niet goed genoeg zijn? Als je de metrieken goed genoeg inricht en een fatsoenlijk dashboard ontwerpt dan zou dat wel goed genoeg moeten zijn.

Laat ik wel even zeggen dat dit soort oplossingen ook niet mijn voorkeur hebben, maar sommige organisaties dwingen je wel bijna zo'n systeem te implementeren. Organisatorisch is het gewoon vaak niet te doen het belang van een volledig geautomatiseerd process van commit tot uitrol te laten inzien laat staan het te regelen voor zowel applicaties als de servers.

[Reactie gewijzigd door Caelorum op 18 februari 2023 09:22]

T-men
@Caelorum19 februari 2023 10:40
Dan nog snap ik het voordeel van patchen in het geheugen niet. Ook een gewone patch kun je terugdraaien door de oude file terug te zetten. En ook een patch in het geheugen kan je dag verzieken:
  • Oeps, die patch dropt de hele database. Of erger nog: corrumpeert de hele boel.
  • Opes, nu blijft die klep met chemische stof open staan. Daar komt die gifwolk.
  • Oeps, de koeling slaat niet aan, nu staat de zaak in de hens.
  • Oeps, deze patch moet zelf gepatcht worden ! Nu hebben we een ander kritiek lek geïntroduceerd en is de hacker binnen.
  • En zo zijn er nog wel meet 'oepsen' te bedenken...

[Reactie gewijzigd door T-men op 19 februari 2023 11:09]

LOTG
@Caelorum18 februari 2023 09:56
Zonder reboot ga je geen patch terug draaien die problemen veroorzaakt en je geheugen heeft aangepast. Het is niet een aan uit schakelaar omdat het in het geheugen zit.

Er zal een reverse patch moeten zijn en dan nog heb je kans dat er andere zaken zijn aangepast die gebruik gemaakt hebben van het gepatchte onderdeel.

En als een patch problemen veroorzaakt doet die dus al niet wat die had moeten doen en kun je er dus ook niet op aan dat de patch terug draaien doet wat je verwacht.

Memory patching is echt een complex proces.

En testen in productie is het laatste wat je wilt doen. Al helemaal als er gewoon automatisch code word gedownload en uitgevoerd.

Dus... Er moet eerst uitgebreid getest worden en ben je even ver.
amigob2
@chow18 februari 2023 08:42
ik weet niet of het zo is, maar op deze manier patchen kan als voordeel hebben dat je alleen hoeft in te grijpen als er misbruik wordt gemaakt van de bug. Dan weet je dus zeker dat de software het zelfde blijft werken

[Reactie gewijzigd door amigob2 op 18 februari 2023 08:43]

Blokker_1999
@amigob218 februari 2023 09:43
En hoe weet jij wanneer er misbruik wordt gemaakt? Ga je wachten totdat je een notitie van de ransomware krijgt om het in te schakelen? Elke bug kan op elk moment misbruikt worden, daarom dat het net belangrijk is om actie te nemen tegen bekende kwetsbaarheden in software.
Bor
@amigob218 februari 2023 13:56
ik weet niet of het zo is, maar op deze manier patchen kan als voordeel hebben dat je alleen hoeft in te grijpen als er misbruik wordt gemaakt van de bug.
Hoe denk je dat op het systeem zelf te detecteren? Als er misbruik van de bug wordt gemaakt ben je in principe al te laat.
amigob2
@Bor18 februari 2023 14:43
Bijvoorbeeld : Als je de size weet en dat is ook uit de machine code te halen,
buiten de grote van een array schrijven.
Blokker_1999
@chow18 februari 2023 09:47
Ja, inderdaad, iedereen heeft al eens een slechte ervaring gehad met het uitrollen van een patch. Kon je die patch gaan blokkeren in je updateserver en geaffecteerde systemen gaan herstellen naar een vorige staat. Is niet leuk, maar hoort er gewoon bij.

Ik wil die beheerders wel eens zien hoe die verdediging standhoud de dag dat men alsnog inbreekt gewoon omdat men zulke oude software draait.

1) absoluut, ze zijn niet anders dan andere patches.
2) de agent houdt continue alle processen bij die draaien. Van zodra er een process gestart wordt waarvoor het patches mag toepassen zal het dat process in het geheugen aanpassen. Een zeer kleine impact bij het opstarten van processen, maar daarbuiten zou je het niet mogen merken.
3) niet meer dan anders. Vergeet niet dat het geheugen van de applicatie aangepast wordt en de applicatie daarna niet anders zou werken dan wanneer deze wel gepatched was geweest
sprankel
18 februari 2023 17:50
Ik begrijp langs geen kanten de toegevoegde waarde van dit product behalve dat je niet moet rebooten om iets te patchen.

- Zero day protectie? Als iets echt zero day is wilt dit zeggen dat het niet gekend is, dan kan deze applicatie ook niets doen.

- Geen impact naar bussiness bij het patchen? Je bent letterlijk instant patches aan het uitrollen direct naar memory zonder enige vorm van testing. Doet mij denken aan AV updates die erin slaagden systemen te slopen, dit gaat juist hetzelfde doen. Hoe het in memory patchen van issues enige garantie moet geven dat je iets niet sloopt is mij een raadsel.

- Patches komen sneller uit? Ze moeten letterlijk het internet af surfen op zoek naar reeds gekende vulnarabilities en dan proberen dat via hun applicatie te sturen, hoe gaat die responstijd nu korter zijn dan dat een MS zijn patches uitrolt? Nog los van het feit dat alles wat niet in het publiek domein ligt niet gepatch word. Dat geven ze ook toe maar is niet belangerijk want wat niet in het publiek domein ligt is niet kwetsbaar. Excuseer mij? Die liggen NOG niet in het publiek domein, als MS een security patch uitbrengt zonder in detail te gaan wat het fixt (wat wilt zeggen dat de kwetsbaarheid nog niet gekend is in het publiek domein) dan is het eerste wat gedaan word, heel die patch analyseren naar wat is er veranderd. Ik noem dat de vicieuze circkel van updates, van het moment iemand iets patcht is het slechts kwestie van tijd voor die kwetsbaarheid in het publiekelijk domein ligt, daarom dat je moet zien dat je mee bent.

Al bij al komt deze oplossing bij mij vooral binnen als een pleister die op een wonde geplakt word, daarbij niets oplost maar als heilige oplossing aangeboden word voor systemen waar men niet wilt of niet kan patchen. En in plaats van het root probleem aan te pakken (niet kunnen of niet willen) kan je deze pleister er op kleven waar ik kan inkomen dat je hier klanten voor gaat vinden, het laat hun namelijk toe om gewoon verder te doen zoals ze al x jaar bezig zijn.
6R15
@sprankel19 februari 2023 13:50
Ik moest toch even twee keer kijken of er niet "Advertentie" boven deze "Review" stond, naast bovenstaande goede punten zegt ook deze zin veel "Daar komt nog eens bovenop dat je van 0patch geen enkele garantie krijgt dat je tegen alles beveiligd bent." Ofwel er is geen SLA en dus garantie op niks, dit is absoluut onbruikbaar in een zakelijke omgeving.
sfc1971
@6R1520 februari 2023 19:08
Krijg je van Microsoft dan garantie dat je systeem veilig is en onaantastbaar? Wil ik jouw overeenkomst dan wel eens zien want de mijn heeft garantie tot aan de deur.

Dat is er mis met dit hele artikel, de auteur denkt dat als je de officiele patches uitvoert je dan wel veilig bent. Dat ben je natuurlijk niet. Je bent "veilig" tegen de gaten die tot dan toe door de leverancier zijn erkent en gefixed MITS ze geen steken hebben laten vallen. Dat is nogal een disclaimer.

Er zijn bedrijven, overheden en criminelen die er van leven dat er nog bugs in software zitten die worden uitgebuit waarvan de makers niet eens weten dat ze bestaan. Dan kun je wel netjes iedere patch installeren maar je bent nog niet veilig. Veilig is een absoluut. Je bent veiliger. Maar niet veilig.

Het artikel claimt ook dat je de 0patch aanpassingen niet hoeft te valideren... hoezo niet? Zijn hun patches zo goed dat ze niks kapot maken of veranderen? Je moet nog steeds testen of je bedrijfsprocessen nog steeds functioneren na een in memory patch of een file patch. Zelfs een simpele "fix" door een config aan te passen moet getest worden.

Het hele artikel is met een paar aannames geschreven die gewoon niet waar zijn.

1. Officiele patches installeren maakt je niet onkwetsbaar/veilig.
2. Iedere aanpassing aan je systeem moet worden getest hoe die ook wordt uitgevoerd.
6R15
@sfc197120 februari 2023 19:44
Krijg je van Microsoft dan garantie dat je systeem veilig is en onaantastbaar? Wil ik jouw overeenkomst dan wel eens zien want de mijn heeft garantie tot aan de deur.
Van Microsoft heb ik inderdaad een zakelijke overeenkomst, maar die mag ik uiteraard niet delen (classificatie vertrouwelijk) maar SLA's van Microsoft staan ook online hoor zoals hier: https://www.microsoft.com...s-SLA-for-Online-Services

Bied dat garantie dat je systeem onaantastbaar is zeker niet, maar je hebt veel meer dan "garantie aan de deur". Ik heb gewoon een overeenkomst met SLA en dus iets met garantie.

[Reactie gewijzigd door 6R15 op 20 februari 2023 19:45]

sfc1971
@6R1521 februari 2023 01:19
Dit artikel gaat over het patchen van Windows. Niet over de uptime van Azure en dergelijke waar jij naar linkt.

Toon me waar MS garantie geeft voor Windows.
6R15
@sfc197121 februari 2023 13:32
Was maar een voorbeeld, maar zoals ik al schreef ik kan je geen zakelijke Sla's tonen maar ze bestaan wel degelijk.
xSNAKEX
@sprankel20 februari 2023 13:14
- Zero day protectie? Als iets echt zero day is wilt dit zeggen dat het niet gekend is, dan kan deze applicatie ook niets doen.

- Patches komen sneller uit? Ze moeten letterlijk het internet af surfen op zoek naar reeds gekende vulnarabilities en dan proberen dat via hun applicatie te sturen, hoe gaat die responstijd nu korter zijn dan dat een MS zijn patches uitrolt?
Zero day betekend dat het nog niet gepatched is, niet dat het onbekend is. Tevens update MS 1 keer per maand met heel soms een snellere hotfix, die je vaak zelfs handmatig moet selecteren. Dat kan dus zeker sneller.
Blokker_1999
18 februari 2023 09:57
Ik zou van de bedrijven die dit gebruiken wel eens de risico analyse willen inzien.

Je wil niet investeren in het upgraden van je systemen dus je gaat vertrouwen op een stukje software dat je vaak op de meest kritische systemen van je bedrijf gaat installeren, dat verplicht moet draaien met de hoogste privileges in je systeem en dat elk uur gaat communiceren met servers op het internet om van daar code te downloaden om te injecteren in systeemprocessen.

Ik krijg daar de kriebels van als ik daar aan denk. Men moet er maar in slagen om ofwel die servers van 0patch te compromiteren en men krijgt in 1 keer toegang tot enkele zeer grote bedrijven en overheidsinstellingen.
Bor
18 februari 2023 12:21
Dat zijn andere bedrijven dan 0patch, maar de mogelijkheden om de 0patch Agent te misbruiken om toch flink wat schade aan te richten, ligt wel voor de hand. Het bedrijf is daar echter niet zo mee bezig, zegt Kolsek. "Je verrast me een beetje met de vraag", zegt hij. "Potentieel zijn we misschien een groot doelwit voor hackers, maar op dit moment denk ik niet dat we dat echt zijn. Misschien als we nog verder groeien...
Dit kan toch geen verrassing zijn voor een bedrijf dat claimed serieus met security bezig te zijn? Hoe kan je dit over het hoofd zien? Doe je zelf als bedrijf dan wel goede risico analyses?

De agent die wordt gebruikt moet continu verregaande rechten op het systeem hebben waarbij patchen in het geheugen lijkt op iets wat malware ook doet waarbij de "patch" direct via een centraal systeem wordt aangeleverd. De oplossing wordt veelal gebruikt op niet meer ondersteunde OS versies die toch al als niet zo veilig bekend staan. Ik zou hier erg voorzichtig mee zijn. De oplossing is namelijk ook een beveiligingsrisico op zich. Hier werd bij eerdere reacties over 0patch ook al op gewezen hier op Tweakers.

[Reactie gewijzigd door Bor op 18 februari 2023 12:21]

tweak797
18 februari 2023 16:02
Ik heb net voor de gein de gratis consumenten versie geinstalleerd op een 'up to date' windows 10 installatie. Er zijn een aantal patches beschikbaar voor mij, al is het met deze interface niet helemaal duidelijk waarom sommige niet worden doorgevoerd en anderen wel.

Ik vroeg mij af of er een (gratis) alternatief die patches doorvoert, in de trant van hoe andere programmas features en telemetry uit zetten (o&o shutup)?
vdws
18 februari 2023 16:31
Snapt iemand hoe dit werkt?

Stel ik heb een Windows 7 machine met Opatch draaien en het volgende gebeurt:

- Er draait een proces met een 0-day kwetsbaarheid die niet meer door Microsoft gerepareerd wordt. Laten we zeggen het is Explorer.exe.
- Opatch heeft een patch beschikbaar en download deze.
- Opatch gaat dan vervolgens in het intern geheugen een stukje software draaien dat on-the-fly de executable van Explorer.exe die ook in het intern geheugen draait patchen?!

Hoe is dit mogelijk met memory protection (DEP) etc? Je kan toch in moderne OS-en (en daar schaar ik Windows 7 dan ook maar even onder) niet zomaar in memory schrijven van andere executables? En als je je PC reboot en Explorer.exe laadt eerder dan Opatch, dan ben je toch nog steeds exposed voor een korte periode?

Kortom, ik snap het niet...
Xfade
@vdws18 februari 2023 18:19
De 0patch agent gebruikt DLL's die digitaal gesigneerd zijn. Wellicht dat het daarom kan. Ook lijkt de code niks "uit te voeren", het bestand is immers nog origineel.

Het zou me ook niet verbazen dat bij een reboot er voor gezorgd wordt dat de agent vóór de internet connectie uitgevoerd word.

(kortom, het is mij ook niet echt duidelijk)
- peter -
18 februari 2023 21:09
Wel opvallend dat ze weinig nagedacht hebben over het supply chain risico. Dat was t eerste wat ik me afvroeg, toen ik over 0patch las. Lijkt me een waardevol target om zo heel veel mensen te besmetten.
jpsch
18 februari 2023 09:08
Een harde schijf is ook geheugen.
Blokker_1999
@jpsch18 februari 2023 09:54
Neen, dat is dataopslag. Geheugen is vluchtige opslag om tijdelijk data te bewaren. Een harde schijf is niet vluchtig om data langdurig op te slann.
memphis
@Blokker_199918 februari 2023 10:25
En toch is er een swapfile, een soort van extensie voor het ram geheugen.
Meiklokje
18 februari 2023 11:35
Waarom nog Windows 7 en 8 blijven gebruiken. Edge forceert versie 10 of hoger en ooit geraakt die browser ook achter voor updates. Browser makers die de ondersteuning op oudere versies van Windows compleet op hold zetten. Daar zit je dan met je patches. Alles is tegenwoordig browser based. Je moet gewoon mee of je nu Windows 10 of 11 nu leuk vindt of niet. Ergens houdt het op. Je ben er veel mee met je dino pc als het internet verandert. Ik heb gisteren voor de gein Linux suse 8.2 in een vm gedraaid. Buiten het oude web werkt niets meer. Windows 7 en 8 volgt het zelfde lot. Ooit loop je tegen die muur aan.

[Reactie gewijzigd door Meiklokje op 18 februari 2023 11:39]

TheVivaldi
@Meiklokje18 februari 2023 12:31
Eh, voor nieuwe(re) websites in oude browsers kun je prima gebruikmaken van Browservice: https://github.com/ttalvitie/browservice
Linux gebruiker
@Meiklokje19 februari 2023 10:13
Waarom nog Windows 7 en 8 blijven gebruiken. Edge forceert versie 10 of hoger en ooit geraakt die browser ook achter voor updates. Ik heb gisteren voor de gein Linux suse 8.2 in een vm gedraaid. Buiten het oude web werkt niets meer. Windows 7 en 8 volgt het zelfde lot. Ooit loop je tegen die muur aan.
Privé is het makkelijker dan in een bedrijven met complexe installaties, ziekenhuizen etc.
Hier ook twee Windows 7 in gebruik voor Dymo printer, gewoon omdat te ingewikkeld is om Dymo fatsoenlijk werkend te krijgen in Linux, wat mijn voorkeur zou hebben.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee