Soluzioni tecniche

Windows 7, Windows 2008: stop alle patch da Giugno 2019. Ecco come risolvere

22 Maggio 2019

Per garantire la sicurezza e l’autenticità degli aggiornamenti di Windows, ogni update di Microsoft utilizza delle firme. Fino a oggi Microsoft ha segnato a doppia firma i propri aggiornamenti, usando gli algoritmi SHA-1 e SHA-2.

Da Giugno 2019 cambiano le regole. Microsoft non firmerà più gli aggiornamenti con il vecchio e buggato SHA-1 ma sono con l’algoritmo SHA-2.

Questo vuol dire che i sistemi operativi in grado di lavorare con SHA-2 continueranno a ricevere gli aggiornamenti mentre gli altri no.

Lo dico in termini ancora più semplici.

A partire da giugno 2019 Windows 7 SP1, Windows Server 2008 R2 SP1 e Windows Server 2008 SP2 non potranno più ricevere gli aggiornamenti di Microsoft, a meno che non vengano aggiornati per supportare SHA-2.

Questo vuol dire che se i tuoi clienti utilizzano i sistemi sopra citati e non hanno gli aggiornamenti opportuni (in particolare gli aggiornamenti relativi a SHA-2) non saranno più in grado di installare le patch di sicurezza.

E senza patch ci sicurezza non solo i sistemi sono più instabili, ma sono anche più proni agli attacchi, sono più vulnerabili.

Dall’inizio del 2019 Microsoft ha iniziato a rilasciare gli aggiornamenti per “istruire” i vecchi sistemi e convertirli agli aggiornamenti basati su SHA-2. Questi aggiornamenti sono disponibili come “standalone” ossia come file singoli.

Qui sotto trovi una tabella riepilogativa con le date, i rilasci delle patch SHA-2 e i sistemi operativi interessati dall’aggiornamento.

 

Data di rilascio

Evento

Sistemi interessati

12 Marzo 2019

Gli aggiornamenti di sicurezza Stand Alone KB4474419 e KB4490628 consentono il supporto a SHA-2 da parte dei sistemi interessati.

 

Windows 7 SP1,
Windows Server 2008 R2 SP1

12 Marzo 2019

L'aggiornamento Stand Alone KB4484071 è disponibile sul Windows Update Catalog per WSUS 3.0 SP2 che supportano gli aggiornamenti firmati con SHA-2. Per i clienti che usano WSUS 3.0 SP2, questo aggiornamento deve essere installato manualmente non oltre il 18 giugno.

WSUS 3.0 SP2

9 Aprile 2019

L'aggiornamento Stand Alone KB4493730 che introduce la compatibilità con SHA-2 per il servicing stack (SSU) viene riasciato come aggiornamento di sicurezza.

 

Windows Server 2008 SP2
14 Maggio 2019 Aggiornamento Stand Alone che introduce SHA-2 OS. Verrà rilasciato come aggiornamento di sicurezza. Windows Server 2008 SP2
18 Giugno 2019 Le firme degli aggiornamenti di Windows 10 saranno compatibili solo con SHA-2 e non più anche con SHA-1. Non è richiesta nessuna azione da parte degli utenti. Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019
18 Giugno 2019 Azione richiesta: per i clienti che usano WSUS 3.0 SP2, KB4484071 deve essere installato a mano entro questa data per abilitare il supporto agli aggiornamenti firmati con SHA-2. WSUS 3.0 SP2

16 Luglio 2019

Azione richiesta: Gli aggiornamenti per le versioni legacy di Windows richiederanno il supporto a SHA-2 per essere installati. Saranno necessari gli aggiornamenti rilasciati ad aprile e maggio per continuare a ricevere aggiornamenti su queste versioni di Windows.

Windows Server 2008 SP2
16 Luglio 2019 Le firme degli aggiornamenti di Windows 10 saranno compatibili solo con SHA-2 e non più anche con SHA-1. Non è richiesta nessuna azione da parte degli utenti. Windows 10 1507,
Windows 10 1607,
Windows 10 1703
13 Agosto2019 Azione richiesta: Gli aggiornamenti per le versioni legacy di Windows richiederanno il supporto a SHA-2 per essere installati. Gli aggiornamenti rilasciati a marzo (KB4474419 and KB4490628)  saranno necessari perché i sistemi continuino a ricevere gli aggiornamenti. Windows 7 SP1,
Windows Server 2008 R2 SP1
13 Agosto 2019 Le firme degli aggiornamenti delle versioni legacy di Windows saranno compatibili solo con SHA-2 e non più anche con SHA-1. Non è richiesta nessuna azione da parte degli utenti. Windows Server 2008 SP2
16 Settembre 2019 Le firme degli aggiornamenti delle versioni legacy di Windows saranno compatibili solo con SHA-2 e non più anche con SHA-1. Non è richiesta nessuna azione da parte degli utenti. Windows 7 SP1,
Windows Server 2008 R2 SP1,
Windows Server 2012,
Windows 8.1,
Windows Server 2012 R2

In ogni caso se Microsoft dovesse cambiare qualcosa la pagina di Microsoft dove trovi informazioni in merito a questi cambiamento è qui.

Quindi, affinché i tuoi clienti siano protetti, assicurati di installare questi aggiornamenti sui loro sistemi.
 
Se utilizzi un sistema RMM abbiamo preparato degli script e dei componenti per verificare rapidamente se i tuoi clienti sono già a posto o meno.

Se usi Datto RMM puoi scaricare da qui il component e le istruzioni.
Se utilizzi Kaseya ecco dove trovare script e istruzioni.

Se invece usi altri sistemi o non usi nulla c’è comunque uno script pronto che può controllare la presenza o meno di questi aggiornamenti suoi sistemi che gestisci: puoi scaricarlo da qui.

Qui di seguito una sommaria descrizione delle varie fasi di analisi gestite dal suddetto script.


[FASE A]

Lo script controlla la versione del sistema operativo.
 

  • Se l'OS non risulta essere uno di quelli soggetti alle dinamiche SHA2 comunica a schermo la seguente info: "Sistema operativo differente da Windows 7 o Server 2008 – Patch SHA2 non necessaria".
  • Se l'OS risulta essere uno di quelli soggetti alle dinamiche SHA2, passa alla [FASE B].

 
[FASE B]

Lo script controlla la presenza del seguente file: "C:WindowsTempsha2patched.txt".
 

  • Se il file è presente comunica a schermo la seguente info: "La patch SHA2 risulta presente (eseguita precedente scansione)".
  • Se il file non è presente passa alla [FASE C].

 
[FASE C]

Lo script esegue check di presenza di almeno una delle KB associate alle dinamiche SHA2 (KB4484071 | KB4474419 | KB4490628 | KB4493730).
 

  • Se almeno una delle KB risulta installata comunica a schermo la seguente info: "La patch SHA2 risulta installata" e crea il seguente file: "C:WindowsTempsha2patched.txt".
  • Se nessuna delle KB risulta installata comunica a schermo la seguente info: "Attenzione! La patch SHA2 non risulta installata".
Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (3)

Buongiorno,

grazie per gli script, ma quello per Datto RMM crea in automatico un valore sull’UDF #8 e credo vada a sovrascrivere qualsiasi cosa ci fosse scritta in precedenza in quel campo. Dovrebbe dare la possibilità di scegliere se e su quale campo personalizzato salvare l’output.

Daniele Capuano,

Salve,

il monitor applicato su Datto RMM mi ha dato l’output "Attenzione! La patch SHA2 non risulta installata" su un device, ma andando a controllare tra le patch installate ho trovato presenti sia l’aggiornamento KB4474419 che il KB4490628. A quanto ho capito, non avrebbe dovuto dare quell’output se almeno una di quelle 4 patch fosse stata installata, giusto?

Daniele Capuano,

Ciao Daniele, per quanto riguarda la tua prima segnalazione sul custom field 8 è il comportamento atteso.
E’ specificato anche nelle istruzioni, se vuoi modificare tale destinazione devi modificare opportunamente lo script
Per la seconda segnalazione, dai nostri test il comportamento non è quello che descrvi tu e dovrebbe comportarsi come affermi, con quelle 2 KB presenti non dovrebbe segnalarti alcunchè.
Se non è così per favore scrivi a supporto@achab.it girandoci l’output dello script che si trovi all’interno di Datto RMm
Grazie
Ciao

Alessio Urban,

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.