SIKKERHET

Microsoft lagde WannaCry-patchen for Windows XP allerede i februar

Var trolig tilgjengelig for enkelte allerede for flere måneder siden.

Sikkerhetsfiksen som Microsoft kom med til Windows XP i forrige uke, var flere måneder gammel.
Sikkerhetsfiksen som Microsoft kom med til Windows XP i forrige uke, var flere måneder gammel. Bilde: Jeff Christensen/Getty Images/All Over Press
Harald BrombachHarald BrombachNyhetsleder
16. mai 2017 - 11:38

Som kjent kom Microsoft med en høyst ekstraordinær sikkerhetsoppdatering til blant annet Windows XP sist fredag. Årsaken var den omfattende spredningen av kryptoskadevaren som kalles for blant annet WannaCrypt, WannaCry eller Wana Decrypt0r

Skadevaren utnytter som kjent en sårbarhet i SMB v1-implementeringen til Windows. Microsoft kom i mars med en sikkerhetsfiks som fjerner denne sårbarheten fra Windows Vista og nyere. Men Microsoft sluttet i utgangspunktet å støtte Windows XP allerede i april 2014. 

Les også: Siste oppdatering til Windows XP

«Custom support»

Men dette er ikke hele sannheten, noe The Register påpeker i denne saken. For det er ikke slik at Microsoft sist uke plutselig bestemte seg for å lage denne sikkerhetsfiksen også til Windows XP, Windows 8 og Windows Server 2003. Sikkerhetsfiksene til disse tre utgavene er alle datert i midten av februar, trolig rundt den tiden Microsoft lagde tilsvarende sikkerhetsfikser til operativsystemene som ble offisielt støttet av selskapet på denne tiden.

Så hvorfor lagde Microsoft sikkerhetsfiksen til Windows XP uten å gi den ut? Det forklares til en viss grad av denne setningen i guiden som selskapet publiserte sist fredag. Understrekingen er vår:

«Additionally, we are taking the highly unusual step of providing a security update for all customers to protect Windows platforms that are in custom support only, including Windows XP, Windows 8, and Windows Server 2003. Customers running Windows 10 were not targeted by the attack today.»

Det er nemlig ikke slik at Microsoft nekter kundene å motta sikkerhetsoppdateringer til eldgamle systemer som kundene av en eller annen grunn må fortsette å bruke. Så lenge man betaler nok, vil man stort sett alltid får det man trenger. Det er dette som menes med «custom support» i setningen over. 

Det er egentlig ikke noe nytt i dette. I 2014 bekreftet Microsoft Norge at det også finnes norske kunder som betalte for å kunne bruke Windows XP enda litt lenger.

Nå nylig: Helt slutt for Windows Vista

Lærepenge?

Men The Register bemerker likevel at mange av dem som nå har fått dataene sine kryptert av WannaCry, kunne ha unngått dette dersom Microsoft hadde utgitt sikkerhetsfiksen mye tidligere, i stedet for bare å tilby den til dem som har råd til å betale. 

På den annen side kan nettopp denne typen episoder føre til at flere nå innser risikoen ved å brukere programvare som ikke vedlikeholdes lenger. I dette tilfellet kunne man i stor grad ha hindret utnyttelse av sårbarheten ved å ha kontroll på hvilke porter som er åpne i brannmuren mot internett. Men det er ikke gitt at dette vil være tilstrekkelig når ondsinnede forsøker seg på noe lignende igjen, basert på annen sårbarhet. 

Ifølge The Register skal mange i Kina ha blitt rammet av skadevaren. Fortsatt er det mange i Kina som bruker piratkopiert programvare, inkludert Windows XP, som ikke lar seg oppdatere.

Les også: Skadevare lammet Sør-Korea

NSA-kritikken

Microsofts sjefadvokat, Brad Smith, kritiserte i helgen amerikanske sikkerhets- og etterretningstjenester for å hamstre sårbarheter til offensiv bruk, i stedet for å hjelpe de berørte leverandørene med å få sårbarhetene fjernet. Sårbarheten som WannaCry utnytter, ble offentlig kjent ved at en samling av NSAs kybervåpen ble lekket. 

Men ikke alle er enige med Smith i dette. 

– Det ville være urimelig og upassende å klandre NSA for noe vesentlig bidrag til dette angrepet, sier Ilia Kolochenko, CEO i sikkerhetsselskapet High-Tech Bridge, i en pressemelding. 

– Tilsvarende nulldagssårbarheter blir kjøpt og solgt nesten hver eneste dag, og mange andre organisasjoner deltar i disse auksjonene. Bortimot alle kan (u)tilsiktet lekke en angrepskode og forårsake tilsvarende skade. Det virkelige problemet er det i 2017 fortsatt er store selskaper og myndigheter som venter i måneder med å patche offentlig avslørte sikkerhetsfeil. NSA behøver praktisk talt ingen nulldagssårbarhet for å få tak i dataene deres. Deres uaktsomhet «inviterer» angriperne til å komme inn, mener Kolochenko.

Ikke første gang: Skal allerede ha infisert titusenvis av datamaskiner med lekket NSA-skadevare

Fortsatt ukjent kilde

Den trolig NSA-utviklede angrepskoden som utnytter SMB v1-sårbarheten, kjent under kodenavnet EternalBlue, ble først lekket i påsken, flere uker etter at Microsoft kom med sikkerhetsfiksen som fjernet den fra Windows Vista og nyere. 

Det er fortsatt ukjent hvordan Microsoft fikk vite om sårbarheten allerede før The Shadow Brokers lekket samlingen med NSA-verktøy. Selskapet har ikke kreditert noen for oppdagelsen av denne sårbarheten.

Les mer: Microsoft vil ikke avsløre hvem som varslet dem om NSAs angrepsverktøy

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.