Antivirus blokkeert Meltdown-patches Microsoft

Microsoft waarschuwt in een supportdocument voor dit beveiligingsprobleem door beveiligingssoftware. Het bedrijf zegt “een compatibiliteits-issue” te hebben gevonden “met een klein aantal antivirussoftwareproducten”. Bepaalde antivirusapplicaties maken namelijk niet-ondersteunde calls in het kernelgeheugen van Windows.

BSOD’s

Deze aanpak kan fatale fouten (blue screens of death) opleveren, waardoor zelfs het booten van getroffen systemen onmogelijk wordt gemaakt. Om dit te voorkomen, heeft Microsoft een beperkende update-maatregel doorgevoerd. De kritieke securitypatches die het bedrijf op 3 januari heeft uitgebracht, worden alleen geïnstalleerd op systemen waarop compatibele antivirussoftware draait.

Windows controleert op deze compatibiliteit door een vereiste registersleutel, die wordt aangebracht door wel correct werkende - of aangepaste - antivirussoftware. Securitysoftware die niet compatibel is, zal de noodzakelijke registerinstelling niet aanmaken waardoor dus de kritieke Windows-updates niet worden geïnstalleerd.

Cumulatief probleem

Bijkomende complicatie is dat de Windows-patches van deze maand niet alleen bescherming brengen tegen Meltdown en Spectre. Microsoft is in 2016 overgestapt op een aanpak van cumulatieve updates waarbij het alle patches verpakt in één download- en instalatiebestand. Individuele patches zijn niet langer verkrijgbaar.

Zo brengt de cumulatieve januari-update ook fixes voor de in Windows ingebouwde SMB-server voor bestandsdeling, meldt security-researcher Kevin Beaumont. “Dit raakt niet alleen Windows Update, maar raakt ook Windows Server Update Services (WSUS) en System Center Configuration Manager (SCCM)”, waarschuwt de beveiligingsexpert.

Schijnbaar wel gepatched

“En om het nog erger te maken: in WSUS en SCCM geven pc’s en servers de patches weer als ‘niet van toepassing / niet vereist’, waardoor het lijkt dat systemen volledig bij zijn qua patches. Dat zijn ze niet.”

Beaumont benadrukt verder dat de vereiste registersleutel ook geldt voor toekomstige Windows-updates. Microsoft stelt in zijn supportdocument immers: “Klanten ontvangen de January 2018 security updates (of enige volgende security updates) niet”. Dit is een neveneffect van Microsofts keuze voor cumulatieve updates, waarin dus alle voorgaande patches worden meegenomen in nieuw uitgebrachte updates.

Compatibiliteitsstatus

Microsoft vervolgt dan ook dat klanten “niet beschermd zullen zijn tegen security-kwetsbaarheden tenzij hun antivirussoftwareleveranciers de volgende registersleutel instellen”. Hiervoor moeten de securityleveranciers hun producten certificeren; dat ze dus niet de unsupported geheugen-calls maken.

Beaumont houdt een uitgebreide lijst bij van securitypakketten en hun compatibiliteitsstatus. Sommige leveranciers werken aan een patch voor hun producten zodat de registersleutel wordt ingesteld en de Windows-patches toegepast kunnen worden. Andere leveranciers vereisen handmatige invoer van de registersleutel.