{"id":187541,"date":"2017-02-16T03:44:16","date_gmt":"2017-02-16T02:44:16","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=187541"},"modified":"2024-04-10T18:11:06","modified_gmt":"2024-04-10T16:11:06","slug":"verschobener-februar-patchday-ms-server-kompromittiert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/02\/16\/verschobener-februar-patchday-ms-server-kompromittiert\/","title":{"rendered":"Verschobener Februar-Patchday – MS-Server kompromittiert?"},"content":{"rendered":"

\"Windows[English<\/a>]Microsoft hat ja \u00fcberraschend den Patchday f\u00fcr Februar 2017 ausgesetzt und das in einem extrem knappen Statement bekannt gegeben. Auch wurden die 'Telemetrie-Updates' KB2952664 \/ KB2976978 f\u00fcr Windows 7\/8.1 zur\u00fcckgezogen. Aber was ist der Grund f\u00fcr diesen \"Aussetzer\"? Spekulation: Da ist etwas gravierendes passiert, und nicht nur ein Bug entdeckt worden. Der Verdacht: m\u00f6glicherweise waren die Upgrade-Server kompromittiert.<\/p>\n

<\/p>\n

Zum Hintergrund<\/h3>\n

\"\"Ich hatte nur kurz im Artikel Ups, Patchday f\u00e4llt heute aus, wegen Bugs \u2026<\/a> auf diesen Umstand hingewiesen \u2013 der Februar Patchday wurde von Microsoft 2017 \u00fcberraschend ausgesetzt. Das Ganze geht aus diesem Technet-Artikel<\/a> des MSRC-Teams hervor.<\/p>\n

Our top priority is to provide the best possible experience for customers in maintaining and protecting their systems. This month, we discovered a last minute issue that could impact some customers and was not resolved in time for our planned updates today.<\/p>\n

After considering all options, we made the decision to delay this month's updates. We apologize for any inconvenience caused by this change to the existing plan.<\/p><\/blockquote>\n

Gab nat\u00fcrlich die Frage, wann die Updates nachgeliefert werden \u2013 ein Bug sollte ja in ein paar Tagen gefixt werden k\u00f6nnen. Die Redaktion bei heise.de wunderte sich in diesem Artikel<\/a> bereits, dass die Updates \"auf unbestimmte Zeit\" verschoben seien.<\/p>\n

Microsoft pr\u00e4zisiert: Updates werden im M\u00e4rz nachgeholt<\/h3>\n

Jetzt wird es \"wunderlich\" und gleichzeitig pr\u00e4zise. Wer den Technet-Artikel jetzt aufruft, findet die folgende Information.<\/p>\n

UPDATE: 2\/15\/17: We will deliver updates as part of the planned March Update Tuesday, March 14, 2017.<\/em><\/p><\/blockquote>\n

Microsoft gibt also jetzt an, dass die Updates erst am 14. M\u00e4rz 2017, zum n\u00e4chsten regul\u00e4ren Patchday nachgereicht werden.<\/p>\n

Sicherheitsl\u00f6cher gro\u00df wie Scheunentore offen<\/h3>\n

In meinem Blog-Beitrag Ups, Patchday f\u00e4llt heute aus, wegen Bugs \u2026<\/a> hatte ich ja darauf hingewiesen, dass zwei bekannt Baustellen bzw. Sicherheitsl\u00fccken ungefixt sind. Da gibt es zumindest die SMB-Zero-Day-Sicherheitsl\u00fccke im Netzwerk (siehe mein Blog-Beitrag SMB Zero-Day-Sicherheitsl\u00fccke in Windows 8.1\/10\/Server<\/a>), die Angreifern die M\u00f6glichkeit gibt, die Windows-Maschinen \u00fcber Netzwerkfreigaben in einen BlueScreen zu schicken. Die L\u00fccke erfordert allerdings, dass der Angreifer Zugriff auf das Netzwerk mit den SMB-Freigaben hat.<\/p>\n

Die zweite Sicherheitsl\u00fccke betrifft den Adobe Flash Player, der ja in Windows 8.1 und Windows 10 steckt. Im Artikel Adobe Patchday: Flash, Digital Editions (Februar 2017)\u00a0 hatte ich ja berichtet, dass Adobe mit einem Update mehrere als kritisch eingestufte Sicherheitsl\u00fccken schlie\u00dft. Diesen Patch hatte ich auch von Microsoft zum 14. Februar 2017 erwartet. Hat den schon jemand gesehen? Bis eben haben meine Windows 10 Testmaschinen noch nichts an Update gesehen. Aber m\u00f6glicherweise reicht Microsoft ein Flash-Update ja nach. Wie ihr Flash deaktiviert, habe ich in diversen Artikeln beschrieben \u2013 siehe Linkliste am Artikelende.<\/p>\n

Was ist der Grund f\u00fcr den aufgeschobenen Patchday?<\/h3>\n

Ok, jetzt wird es spekulativ, aber ich beginne mal ein paar F\u00e4den zusammen zu kn\u00fcpfen. Es wurde mal \u00fcber eine neue Build von Windows 10 Insider Preview spekuliert \u2013 ich erinnere an den Beitrag Windows 10 14393.823 erwartet uns morgen \u2013 Redstone 2 Sign-Off zwischen 7. und 14.M\u00e4rz<\/a> der Kollegen von deskmodder.de, vom 13. Februar 2017. Gut, der Patchday ist ausgefallen. Aber es gab am 13. Februar 2017 bei deskmodder.de den Beitrag Windows Defender aktuell mit einem Update Problem<\/a> \u2013 die Defender-Updates laufen mal wieder. Also alles nur hei\u00dfe Luft?<\/p>\n

Stutzig machen mich folgende Umst\u00e4nde: Es muss bei Microsoft schon etwas sehr gravierendes passiert sein, dass \"ein Bug\" in letzter Minute entdeckt wird und die Updates auf allen Plattformen, von Windows Vista \u00fcber Windows 7 bis hin zu den aktuell unterst\u00fctzten Windows 10-Builds verhindert. Auch die gerade im Blog-Beitrag Windows 10: Support f\u00fcr RTM-Version auf Mai 2017 verl\u00e4ngert<\/a> von mir berichtete Verl\u00e4ngerung ber\u00fchrt merkw\u00fcrdig.<\/p>\n

\"Microsoft<\/p>\n

Eine Erkl\u00e4rung w\u00e4re, dass bei Microsoft die Windows Update-Server kaputt sind bzw. durch einen Bug streiken. Aber alle Server kaputt? Auch WSUS oder der Windows Update Catalog? Den Microsoft Update Catalog kann ich aufrufen und nach Updates suchen lassen \u2013 das Teil l\u00e4uft also. Die Server-Kaputt-Theorie kann man vermutlich knicken.<\/p>\n

Updates KB2952664 \/ KB2976978 zur\u00fcckgezogen<\/h3>\n

Und es gibt Beobachtungen von Nutzern, dass einige Update-Pakete kurz mal in Windows Update angeboten wurden, aber sofort verschwunden seien. Kann ich nicht verifizieren. Blog-Leser Dekre berichtet in diesem Kommentar<\/a> zum Blog-Beitrag\u00a0 Windows 7\/8.1: Update KB2952664 \/ KB2976978 wieder im Anflug<\/a>, dass Update KB2952664 nicht mehr angeboten wird. Auch die Site askwoody.com berichtet<\/a>, dass die alten Updates KB2952664 \/ KB2976978 aus dem Microsoft Update Catalog<\/a> verschwunden seien.<\/p>\n

<\/p>\n

Obiger Screenshot best\u00e4tigt dies, Update KB2952664<\/a> wird tats\u00e4chlich nicht mehr gefunden Und KB2976978<\/a> f\u00fcr Windows 8.x wird nun mit Stand 7\/11\/2016 (also 11.7.2016) f\u00fcr Windows 8 angeboten \u2013 der KB-Beitrag<\/a> gibt aber die letzte Revision als 9 Feb 2017 an. Ich habe das Ganze im Blog-Beitrag Windows 7\/8.1: Updates KB2952664\/KB2976978 zur\u00fcckgezogen<\/a> thematisiert.<\/p>\n

Erst will Microsoft das Update pertinent auf die Systeme mangeln und zieht es dann wieder zur\u00fcck? Das sind \u00fcbrigens Telemetrie-Updates, die zwischenzeitlich in allen Windows-Versionen, von Windows 7 bis Windows 10 stecken. Aber das Zeugs war ja bereits f\u00fcr Windows 7\/8.1 ausgeliefert. Merkw\u00fcrdig!<\/p>\n

Wurde Microsofts Windows Update kompromittiert?<\/h3>\n

Tja, und jetzt geht es auf d\u00fcnnes Eis: Eine m\u00f6glicher Erkl\u00e4rung w\u00e4re, dass die Windows Update-Server kompromittiert wurden. Das w\u00e4re nat\u00fcrlich eine Katastrophe, da dann Malware auf Millionen Clients und Server verteilt w\u00fcrdeworden sei<\/span>. Dank Auto-Update in Windows 10 w\u00e4re das ein lohnendes Angriffsziel f\u00fcr Hacker.<\/p>\n

Windige Theorie, ich wei\u00df. Aber wenn ich 1+1 zusammenziehe, gibt es Indizien daf\u00fcr. Stutzig macht mich, dass der Technet-Beitrag<\/a> vom MSRC-Team verfasst wurde. Das K\u00fcrzel MSRC steht f\u00fcr Microsoft Security Response Center<\/a>, und dessen Aufgabe liest sich folgenderma\u00dfen:<\/p>\n

The MSRC works with partners and security researchers around the world to help prevent security incidents and to advance Microsoft product security.<\/p><\/blockquote>\n

Gut, muss nichts hei\u00dfen, die Sicherheitstruppe ist auch f\u00fcr Sicherheitspatches zust\u00e4ndig. Werfe ich aber die obigen Informationen mit in einen Topf, ergibt sich ein schl\u00fcssiges Bild: Gravierendes Problem, Update-Server laufen, Last Minute Bug, der bis M\u00e4rz zum Fixen braucht, ungefixte Sicherheitsl\u00fccken, Post vom MSRC-Team, das \"riecht\" irgendwie verd\u00e4chtig.<\/p>\n

Woody Leonhard spekuliert hier<\/a> ebenfalls, dass Windows Update kaputt sei (was ich oben widerlegt habe), oder dass Windows Update kompromittiert sein k\u00f6nnte. Und bei computerworld.com gibt es diesen Artikel<\/a>, der sich mit der gleichen Frage besch\u00e4ftigt. Dort wird die \"Bug in einem Patch-Theorie\" verworfen und eher ein Infrastruktur-Problem oder der Wunsch, den SMB-Bug noch zu fixen, angef\u00fchrt. Es kommt der Hinweis, dass Microsoft sich mit den kumulativen Updates und Rollups selbst bestimmter Handlungsoptionen beraubt hat. Aber die Argumentation ist etwas schwach, speziell, wenn ich an Flash denke. Und was bleibt dann? Ein kompromittiertes Windows-Update, aber das ist alles 100 % Spekulation. Was meint ihr?<\/p>\n

PS: Da kommt die Forderung von Microsoft-Pr\u00e4sident Smith, der eine Art \"Genfer Konvention\" mit Regeln f\u00fcr die Hacks von Staaten untereinander fordert (siehe z.B. diesen Artikel<\/a> bei heise.de) gerade recht.<\/p><\/blockquote>\n

Nachtrag:<\/strong> Bei ZDnet.com hat Mary Foley noch einen Artikel<\/a> ver\u00f6ffentlicht \u2013 nix genaues wei\u00df auch sie nicht. Deren Kontakte munkeln von \"Problemen mit dem Microsoft Build System\", mit dem die Update-Pakete wohl geschn\u00fcrt werden. Ansonsten schweigt Microsoft, wie man bei Foley hier<\/a> nachlesen kann.<\/p>\n

Nachtrag 2<\/strong>:\u00a0Seit der Beitrag online ist, fl\u00f6tete mir eine Quelle einige Informationen zu. Im Artikel\u00a0Windows 7\/8.1: Updates KB2952664\/KB2976978 zur\u00fcckgezogen<\/a>\u00a0gibt es einige Infos zu den\u00a0zur\u00fcckgezogenen Updates KB2952664<\/em>\u00a0und\u00a0<\/span>KB2976978, die ich um einen Grund f\u00fcr den R\u00fcckzug erg\u00e4nzt habe.\u00a0Da die Nacht wohl ein Bluetooth-Treiber freigegeben und ausgerollt wurde, k\u00f6nnen die Update-Server bei Microsoft auch nicht \"stehen\". Ich\u00a0glaube auch die Information, dass die Tage ein Flash-Update kommen k\u00f6nnte, vernommen zu haben. Aber nix genaues wei\u00df man nicht. Daher ist auch diese Info mit einer Prise Vorsicht genie\u00dfen.<\/p>\n

Und es gibt noch zwei Fundstellen, die ich nicht vorenthalten mag (dank an Leon f\u00fcr den Hinweis). Microsoft wollte ja die ganze Update-Dokumentation im Februar umstellen (die Security Bulletins wurden ja eingestellt). Bei ComputerWorld gibt es den Artikel\u00a0Microsoft shelves all February security updates<\/a>\u00a0und den Artikel\u00a0Microsoft slates end to security bulletins in February<\/a>\u00a0zu diesem Themenkomplex. Obwohl dies lediglich fehlende Dokumentation erkl\u00e4ren w\u00fcrde.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nUps, Patchday f\u00e4llt heute aus, wegen Bugs \u2026<\/a>
\nWindows 7\/8.1: Updates KB2952664\/KB2976978 zur\u00fcckgezogen<\/a>
\nWindows 10: Support f\u00fcr RTM-Version auf Mai 2017 verl\u00e4ngert<\/a>
\nSMB Zero-Day-Sicherheitsl\u00fccke in Windows 8.1\/10\/Server<\/a>
\nAdobe Patchday: Flash, Digital Editions (Februar 2017)
\nFlash-Player in Windows 8, 8.1, 10 deaktivieren
\nStopp: Flash-Sicherheitsl\u00fccke, Flash-Player deaktivieren!<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft hat ja \u00fcberraschend den Patchday f\u00fcr Februar 2017 ausgesetzt und das in einem extrem knappen Statement bekannt gegeben. Auch wurden die 'Telemetrie-Updates' KB2952664 \/ KB2976978 f\u00fcr Windows 7\/8.1 zur\u00fcckgezogen. Aber was ist der Grund f\u00fcr diesen \"Aussetzer\"? Spekulation: Da … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[185,301],"tags":[4315,4325],"class_list":["post-187541","post","type-post","status-publish","format-standard","hentry","category-update","category-windows","tag-update","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/187541","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=187541"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/187541\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=187541"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=187541"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=187541"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}