Beheer

IT beheer
stoplichten

Antivirus blokkeert Meltdown-patches Microsoft

Sommige securitysoftware blijkt incompatibel met Windows-patches tegen Meltdown en Spectre.

© Shutterstock
10 januari 2018

Sommige securitysoftware blijkt incompatibel met Windows-patches tegen Meltdown en Spectre.

Niet elk Windows-systeem krijgt de patches die Microsoft uitbrengt tegen datadiefstal via de diepgaande processorkwetsbaarheden Meltdown en Spectre. Sommige securitypakketten gaan namelijk niet goed om met Windows’ kernel-bescherming tegen rootkits en kunnen daardoor computers laten vastlopen. De nieuwste patches worden dus in bepaalde gevallen tegengehouden.

Microsoft waarschuwt in een supportdocument voor dit beveiligingsprobleem door beveiligingssoftware. Het bedrijf zegt “een compatibiliteits-issue” te hebben gevonden “met een klein aantal antivirussoftwareproducten”. Bepaalde antivirusapplicaties maken namelijk niet-ondersteunde calls in het kernelgeheugen van Windows.

BSOD’s

Deze aanpak kan fatale fouten (blue screens of death) opleveren, waardoor zelfs het booten van getroffen systemen onmogelijk wordt gemaakt. Om dit te voorkomen, heeft Microsoft een beperkende update-maatregel doorgevoerd. De kritieke securitypatches die het bedrijf op 3 januari heeft uitgebracht, worden alleen geïnstalleerd op systemen waarop compatibele antivirussoftware draait.

Windows controleert op deze compatibiliteit door een vereiste registersleutel, die wordt aangebracht door wel correct werkende - of aangepaste - antivirussoftware. Securitysoftware die niet compatibel is, zal de noodzakelijke registerinstelling niet aanmaken waardoor dus de kritieke Windows-updates niet worden geïnstalleerd.

Cumulatief probleem

Bijkomende complicatie is dat de Windows-patches van deze maand niet alleen bescherming brengen tegen Meltdown en Spectre. Microsoft is in 2016 overgestapt op een aanpak van cumulatieve updates waarbij het alle patches verpakt in één download- en instalatiebestand. Individuele patches zijn niet langer verkrijgbaar.

Zo brengt de cumulatieve januari-update ook fixes voor de in Windows ingebouwde SMB-server voor bestandsdeling, meldt security-researcher Kevin Beaumont. “Dit raakt niet alleen Windows Update, maar raakt ook Windows Server Update Services (WSUS) en System Center Configuration Manager (SCCM)”, waarschuwt de beveiligingsexpert.

Schijnbaar wel gepatched

“En om het nog erger te maken: in WSUS en SCCM geven pc’s en servers de patches weer als ‘niet van toepassing / niet vereist’, waardoor het lijkt dat systemen volledig bij zijn qua patches. Dat zijn ze niet.”

Beaumont benadrukt verder dat de vereiste registersleutel ook geldt voor toekomstige Windows-updates. Microsoft stelt in zijn supportdocument immers: “Klanten ontvangen de January 2018 security updates (of enige volgende security updates) niet”. Dit is een neveneffect van Microsofts keuze voor cumulatieve updates, waarin dus alle voorgaande patches worden meegenomen in nieuw uitgebrachte updates.

Compatibiliteitsstatus

Microsoft vervolgt dan ook dat klanten “niet beschermd zullen zijn tegen security-kwetsbaarheden tenzij hun antivirussoftwareleveranciers de volgende registersleutel instellen”. Hiervoor moeten de securityleveranciers hun producten certificeren; dat ze dus niet de unsupported geheugen-calls maken.

Beaumont houdt een uitgebreide lijst bij van securitypakketten en hun compatibiliteitsstatus. Sommige leveranciers werken aan een patch voor hun producten zodat de registersleutel wordt ingesteld en de Windows-patches toegepast kunnen worden. Andere leveranciers vereisen handmatige invoer van de registersleutel.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.