Wij zijn dagelijks bezig met het up-to-date houden van onze systemen en dat van onze klanten. Daarbij is het niet alleen van belang om gewoonweg de beschikbare updates te installeren. Veel updates vereisen namelijk ook aanpassingen in de omgeving, bijvoorbeeld omdat een bepaald protocol niet meer wordt ondersteund of doordat bepaalde stukken software op een gegeven moment niet meer onderhouden worden door de leverancier. Dit kan flinke impact hebben op de omgeving en daarom is het goed om hier op tijd mee te beginnen.
In deze Tech/update willen we graag aandacht geven aan kwetsbaarheden in HTTP/2 die actief misbruikt worden, einde van support op Windows Server 2012 R2 en Windows 11 Pro 21H2 en problemen die worden veroorzaakt door het gebruik van oudere versies van Office.
DDoS aanvallen op het HTTP/2 protocol (CVE-2023-44487)
Recent is de kwetsbaarheid binnen het HTTP/2 protocol dat echt actief misbruikt wordt. Het is belangrijk om web- en bijv. web proxy servers snel te patchen. Microsoft-services die hier gebruik van maken hebben in de afgelopen periode security updates gekregen, dus de kortste klap is daarin up-to-date te raken. Een variant is om het HTTP/2 protocol tijdelijk uit te schakelen. Deze kwetsbaarheid betreft het protocol (het is dus geen stukje software) en moet op alle platformen worden gepatched, dus check ook andere besturingssytemen en webservers.
Andere maatregelen die je kunt nemen om tegen dit soort aanvallen is het inzetten van een Azure Web Application Firewall (WAF) en natuurlijk zo veel mogelijk de toegang tot webservices te beperken. Meer weten over wat Microsoft voor deze specifieke kwetsbaarheden als tips heeft (zoals Layer 7 DDOS beveiligings tips), check dan deze blog: https://msrc.microsoft.com/blog/2023/10/microsoft-response-to-distributed-denial-of-service-ddos-attacks-against-http/2/
Laatste updates voor Windows Server 2012 R2 en Windows 11 21H2
Er is al veel over geschreven de afgelopen periode, maar het moment is toch echt daar: voor Windows Server 2012 R2 is nu officieel aan het eind van zijn Latijn. We zijn bij veel van onze klanten nog servers aan het vervangen door nieuwere versies van Windows Server. Zorg ervoor dat je vlot weer up-to-date bent, zodat je bij nieuwe kwetsbaarheden geen gevaar loopt want er komen geen nieuwe updates meer voor uit. Vaak is een migratie naar een nieuwe Windows Server versie niet meer zoveel werk als dat dit 10 jaar geleden was, maar vereist het wel enige planning en voorbereiding. Dus wacht er niet nog langer mee!
Ook met Windows 11 is er per 10 oktober 2023 een eind gekomen aan één van de releases, namelijk Windows 11 21H2. Dit geldt zowel voor de Pro als de Home versie, dus check ook thuis de computer eens of die up-to-date is! Versie 22H2 van Windows 11 is nog wel gewoon beschikbaar en hier zullen updates tot oktober 2024 blijven uitkomen. Een opvolger van 22H2 is er eigenlijk nog niet, want de grote updates die afgelopen jaar uit zijn gekomen waren allemaal cumulatieve updates op 22H2. Die laatste updates bevatten overigens wel veel toffe features, zoals ook dit artikel op Tweakers weergeeft: https://tweakers.net/reviews/11496/de-nieuwe-grote-windows-11-update-is-er-maar-hij-heet-niet-23h2.html
Oudere versies van Office geven problemen i.c.m. Microsoft 365-diensten
Microsoft 365 en andere diensten uit de Microsoft cloud staan verre van stil en steeds vaker constateren we dat de Office versie nog wel eens achter loopt en daarbij problemen geeft. Zo worden oudere versies van Office niet actief geblokkeerd door deze diensten, maar zijn nieuwe functies niet (of niet optimaal) te gebruiken en door het overschakelen naar andere protocollen zijn sommige diensten helemaal niet meer te gebruiken.
Office 2016 en Office 2019 hebben beiden extended support tot 14 oktober 2025, maar dat betekent niet dat deze over deze hele periode goed zullen werken i.c.m. de diensten van Microsoft 365. Dit kan o.a. komen door het uitschakelen van TLS 1.0 en 1.1 (sinds oktober 2020 is minimaal TLS 1.2 vereist om verbinding te maken). Verder is sinds begin dit jaar basisauthenticatie voor diverse protocollen voor Exchange Online uitgeschakeld. Vanaf 1 november 2021 zijn er ook vereisten aan de minimale versies van Outlook voor Windows om verbinding te maken met Microsoft 365-services, zoals Exchange Online. Zie het volgende blogbericht voor meer informatie: Nieuwe minimale versievereisten voor Outlook voor Windows voor Microsoft 365.
Niet alleen vanuit beveiligingsoogpunt dus relevant om de werkplekken up-to-date te houden, ook vanwege steeds meer beperkingen bij het gebruik van oudere software. Wil je weten hoe je werkplek gemakkelijk up-to-date houdt in jouw situatie? Plan een bak koffie met een van onze mensen zodat we een aanvalsplan kunnen maken voor jullie omgeving.
Heb je een andere CVE of (Security) Update waar je graag meer over wilt weten?
We gaan graag met je aan de slag om te bepalen of iets impact gaat hebben op jouw omgeving. Dit kan natuurlijk via een vraag naar onze technische mannen (helpdesk@gtsonline.nl), maar we kunnen hier ook een blogje aan wijden. Kom dan ook vooral eens in de lucht, vinden we leuk!