Symantec blokkeert kritieke augustus-patches Windows

Securitysoftware van Symantec kan nog altijd niet overweg met updates die digitaal zijn ondertekend met SHA-2. Dit omvat nu ook updates voor Windows, waardoor de kritieke updates van deze maand voor ernstige kwetsbaarheden in onder meer RDP niet zijn te installeren op computers met Symantecs Endpoint Protection-software. Microsoft heeft begin dit jaar aangekondigd dat het SHA-1 laat vallen vanwege securitygebreken daarin.

Jasper BakkerredacteurMeer van deze auteur

Updates voor Windows worden nu niet langer dubbel ondertekend met SHA-1 en SHA-2, maar voortaan alleen met de laatstgenoemde, betere versie van het hashing-algoritme. Dit geldt ook voor Windows 7 en Windows Server 2008 R2 (Release 2), die in het rijtje Windows-versies staan die deze maand kritieke patches hebben gekregen voor openstaande beveiligingsgaten. Daaronder een reeks kwetsbaarheden in de Remote Desktop Services die door Microsoft zelf zijn ontdekt door onderzoek naar het 'verstevigen' (hardening) van die eerder al kwetsbare bevonden mogelijkheden voor toegang op afstand.

Niet zichtbaar

Symantec heeft het supportdocument over zijn gebrek aan ondersteuning voor SHA-2 nu bijgewerkt met de mededeling dat updates voor Windows 7 en 2008 R2 niet beschikbaar zijn als zijn Endpoint Protection is geïnstalleerd. Het gaat hierbij niet alleen om het niet kunnen installeren van de nu uitgebrachte, kritieke augustus-updates. Klanten van Symantec zien letterlijk niet wat ze missen: "Updates die alleen met SHA-2 zijn ondertekend, zijn niet zichtbaar als een beschikbare download."

Microsoft geeft in zijn supportdocument over de kritieke updates aan dat het die patches tijdelijk weerhoudt van installatie op apparaten waar Symantec Antivirus of Norton Antivirus op draaien. De Windows-maker raadt handmatige download en installatie van de augustus-updates expliciet af voor gebruikers van Symantecs securityproducten. Die software blokkeert of wist de met SHA-2 ondertekende Windows-updates namelijk tijdens de installatie ervan. "Dit kan er dan voor zorgen dat Windows niet langer werkt of weigert te starten", waarschuwt Microsoft.

Risicogroep

Dit probleem met SHA-2 ondertekende updates raakt alle huidige versies van Symantec Endpoint Protection (SEP), geeft leverancier Symantec aan in zijn supportdocument. Een toekomstige versie van dat beveiligingsproduct moet dit corrigeren, maar het is vooralsnog onbekend wanneer die release dan uitkomt. Microsoft heeft in maart zijn planning onthuld om van SHA-1 af te stappen, wat nu dus een kritieke tussenstap heeft bereikt. Ondertussen behoren gebruikers van SEP onwillend tot de risicogroep van Windows-gebruikers die patches niet installeren. Alleen dan niet omdat ze dat niet willen, maar nu simpelweg niet kunnen.

The "Symantec SHA-2 bulletin" was updated today with a note indicating that every version of SEP is impacted. A lot of legacy customers are in for some hard times. pic.twitter.com/gw0wqjXYf0
— plum (@chrisplummer) August 14, 2019