Per garantire la sicurezza e l’autenticità degli aggiornamenti di Windows, ogni update di Microsoft utilizza delle firme. Fino a oggi Microsoft ha segnato a doppia firma i propri aggiornamenti, usando gli algoritmi SHA-1 e SHA-2.

Da Giugno 2019 cambiano le regole. Microsoft non firmerà più gli aggiornamenti con il vecchio e buggato SHA-1 ma sono con l’algoritmo SHA-2.

Questo vuol dire che i sistemi operativi in grado di lavorare con SHA-2 continueranno a ricevere gli aggiornamenti mentre gli altri no.

Lo dico in termini ancora più semplici.

A partire da giugno 2019 Windows 7 SP1, Windows Server 2008 R2 SP1 e Windows Server 2008 SP2 non potranno più ricevere gli aggiornamenti di Microsoft, a meno che non vengano aggiornati per supportare SHA-2.

Questo vuol dire che se i tuoi clienti utilizzano i sistemi sopra citati e non hanno gli aggiornamenti opportuni (in particolare gli aggiornamenti relativi a SHA-2) non saranno più in grado di installare le patch di sicurezza.

E senza patch ci sicurezza non solo i sistemi sono più instabili, ma sono anche più proni agli attacchi, sono più vulnerabili.

Dall’inizio del 2019 Microsoft ha iniziato a rilasciare gli aggiornamenti per “istruire” i vecchi sistemi e convertirli agli aggiornamenti basati su SHA-2. Questi aggiornamenti sono disponibili come “standalone” ossia come file singoli.

Qui sotto trovi una tabella riepilogativa con le date, i rilasci delle patch SHA-2 e i sistemi operativi interessati dall’aggiornamento.

 

Data di rilascio

Evento

Sistemi interessati

12 Marzo 2019

Gli aggiornamenti di sicurezza Stand Alone KB4474419 e KB4490628 consentono il supporto a SHA-2 da parte dei sistemi interessati.

 

Windows 7 SP1,
Windows Server 2008 R2 SP1

12 Marzo 2019

L'aggiornamento Stand Alone KB4484071 è disponibile sul Windows Update Catalog per WSUS 3.0 SP2 che supportano gli aggiornamenti firmati con SHA-2. Per i clienti che usano WSUS 3.0 SP2, questo aggiornamento deve essere installato manualmente non oltre il 18 giugno.

WSUS 3.0 SP2

9 Aprile 2019

L'aggiornamento Stand Alone KB4493730 che introduce la compatibilità con SHA-2 per il servicing stack (SSU) viene riasciato come aggiornamento di sicurezza.

 

Windows Server 2008 SP2
14 Maggio 2019 Aggiornamento Stand Alone che introduce SHA-2 OS. Verrà rilasciato come aggiornamento di sicurezza. Windows Server 2008 SP2
18 Giugno 2019 Le firme degli aggiornamenti di Windows 10 saranno compatibili solo con SHA-2 e non più anche con SHA-1. Non è richiesta nessuna azione da parte degli utenti. Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019
18 Giugno 2019 Azione richiesta: per i clienti che usano WSUS 3.0 SP2, KB4484071 deve essere installato a mano entro questa data per abilitare il supporto agli aggiornamenti firmati con SHA-2. WSUS 3.0 SP2

16 Luglio 2019

Azione richiesta: Gli aggiornamenti per le versioni legacy di Windows richiederanno il supporto a SHA-2 per essere installati. Saranno necessari gli aggiornamenti rilasciati ad aprile e maggio per continuare a ricevere aggiornamenti su queste versioni di Windows.

Windows Server 2008 SP2
16 Luglio 2019 Le firme degli aggiornamenti di Windows 10 saranno compatibili solo con SHA-2 e non più anche con SHA-1. Non è richiesta nessuna azione da parte degli utenti. Windows 10 1507,
Windows 10 1607,
Windows 10 1703
13 Agosto2019 Azione richiesta: Gli aggiornamenti per le versioni legacy di Windows richiederanno il supporto a SHA-2 per essere installati. Gli aggiornamenti rilasciati a marzo (KB4474419 and KB4490628)  saranno necessari perché i sistemi continuino a ricevere gli aggiornamenti. Windows 7 SP1,
Windows Server 2008 R2 SP1
13 Agosto 2019 Le firme degli aggiornamenti delle versioni legacy di Windows saranno compatibili solo con SHA-2 e non più anche con SHA-1. Non è richiesta nessuna azione da parte degli utenti. Windows Server 2008 SP2
16 Settembre 2019 Le firme degli aggiornamenti delle versioni legacy di Windows saranno compatibili solo con SHA-2 e non più anche con SHA-1. Non è richiesta nessuna azione da parte degli utenti. Windows 7 SP1,
Windows Server 2008 R2 SP1,
Windows Server 2012,
Windows 8.1,
Windows Server 2012 R2

In ogni caso se Microsoft dovesse cambiare qualcosa la pagina di Microsoft dove trovi informazioni in merito a questi cambiamento è qui.

Quindi, affinché i tuoi clienti siano protetti, assicurati di installare questi aggiornamenti sui loro sistemi.
 
Se utilizzi un sistema RMM abbiamo preparato degli script e dei componenti per verificare rapidamente se i tuoi clienti sono già a posto o meno.

Se usi Datto RMM puoi scaricare da qui il component e le istruzioni.
Se utilizzi Kaseya ecco dove trovare script e istruzioni.

Se invece usi altri sistemi o non usi nulla c’è comunque uno script pronto che può controllare la presenza o meno di questi aggiornamenti suoi sistemi che gestisci: puoi scaricarlo da qui.


Qui di seguito una sommaria descrizione delle varie fasi di analisi gestite dal suddetto script.

[FASE A]

Lo script controlla la versione del sistema operativo.
 
  • Se l'OS non risulta essere uno di quelli soggetti alle dinamiche SHA2 comunica a schermo la seguente info: "Sistema operativo differente da Windows 7 o Server 2008 - Patch SHA2 non necessaria".
  • Se l'OS risulta essere uno di quelli soggetti alle dinamiche SHA2, passa alla [FASE B].
 
[FASE B]

Lo script controlla la presenza del seguente file: "C:\Windows\Temp\sha2patched.txt".
 
  • Se il file è presente comunica a schermo la seguente info: "La patch SHA2 risulta presente (eseguita precedente scansione)".
  • Se il file non è presente passa alla [FASE C].
 
[FASE C]

Lo script esegue check di presenza di almeno una delle KB associate alle dinamiche SHA2 (KB4484071 | KB4474419 | KB4490628 | KB4493730).
 
  • Se almeno una delle KB risulta installata comunica a schermo la seguente info: "La patch SHA2 risulta installata" e crea il seguente file: "C:\Windows\Temp\sha2patched.txt".
  • Se nessuna delle KB risulta installata comunica a schermo la seguente info: "Attenzione! La patch SHA2 non risulta installata".


Condividi sui Social Network