Blog-Rückschau Januar 2020: Windows 7 und Sicherheit

Nachdem der Januar 2020 nun vorbei ist, möchte ich einen kurzen Blick zurück werfen und kurz beleuchten, welche Themen uns im Blog beschäftigt haben. Der Abschied von Windows 7 samt Abschiedsgeschenk von Microsoft war ein Thema. Der neue Edge-Browser wurde freigegeben (zumindest ein bisschen) und Sicherheit war das andere große Thema.

Der Abschied von Windows 7

Im Januar 2020 hieß es Abschied von diversen Microsoft-Produkten nehmen, deren Support endete (siehe End of Support für Microsoft-Produkte im Januar 2020 und den heise-Beitrag Diese Microsoft-Produkte erreichen am 14. Januar das Supportende – eine Übersicht).

Bye, bye Windows 7

Für die meisten Blog-Leser war das Supportende von Windows 7 SP1 (und Windows Server 2008/R2) zum 14. Januar 2020 ein großes Thema. Zu diesem Datum gab es letztmalig Sicherheitsupdates für die breite Masse der Windows 7-Nutzer.  Ich hatte das Thema in den nachfolgenden Blog-Beiträgen angesprochen.

Patchday: Updates für Windows 7/8.1/Server (14. Januar 2020)
Windows 7 Support-Ende-Screen wird angezeigt

Einen Rückblick auf die Zeit von Windows 7 gab es von mir bei heise in diesem Beitrag: Goodbye, Windows 7? – Rückschau und Ausblick. Angesichts dieses 'Ereignisses' hatte Microsoft sich dann noch zu einem 'besonderen Abschiedsgeschenk' an die Windows 7-Nutzerschaft entschlossen. Die nachfolgenden Beiträge thematisieren das.

Windows 7: Update KB4534310 verursacht schwarzen Desktop
Windows 7: Schwarzer Desktop durch KB4534310 bestätigt
Windows 7: Bug-Fix für schwarzen Desktop kommt für Alle

Lange Rede kurzer Sinn: Die Leutchen haben Microsoft kräftig auf die Füße getreten, wodurch Redmond sich neu besonnen hat. Der Fix für diesen Bug kommt für alle Nutzer, und man kann spekulieren, dass im Februar 2020 zum Patchday dann nochmals ein allgemeines Update für alle Windows 7-Nutzer erscheint – wir werden sehen.

Kleine Fußnote am Rande war die Forderung der FSF zur Freigabe von Windows 7 (siehe Free Software Foundation fordert Freigabe von Windows 7), die aber eine Fußnote bleiben wird – die Gründe hatte ich im Artikel offen gelegt.

Es gibt ein Leben danach

Spannender ist für Windows 7-Nutzer wie es weiter geht. Muss ich die Rechner jetzt einschmelzen, auf Windows 10 aktualisieren oder was? Bisher ist es so, dass Nutzer weiter mit Windows 7 arbeiten können – das funktioniert ja noch und ist nicht unsicherer als vorher.

Für Firmenumgebungen gibt es ja das ESU-Projekt, um Updates bis 2023 zu bekommen. Dieses Projekt habe ich hier im Blog ja intensiver begleitet (siehe die nachfolgenden Artikel).

Windows 7 kriegt Extended Support bis Januar 2023
Microsoft weitet Windows 7 Extended-Support auf KMUs aus
Windows 7 Extended Security Updates (ESU) Anforderungen
Start des Windows 7 Extended Security Update (ESU) Program
Windows 7: ESU-Supportverlängerung bestellbar, Preis und Bezugsquelle für KMUs
Windows 7: ESU-Lizenz kaufen und verwalten – Teil 1
Windows 7: ESU vorbereiten und Lizenz aktivieren – Teil 2
Windows 7: ESU-Aktivierung im Enterprise-Umfeld – Teil 3

In der Presse wurde sich dann über die 'blöde deutsche Bundesregierung' echauffiert, die das Windows 7-Supportende und den Umstieg auf Windows 10 verschlafen habe und für viel Geld eine ESU-Supportverlängerung bucht. Ich hatte das Thema dann im Artikel Nachlese: Regierung zahlt 800.000 Euro für Windows 7 ESU seziert.

Aber auch Privatnutzer oder Leute, die kein ESU buchen möchten, können Windows 7 SP1 (und die Server Pendants) weiterhin mit Fixes absichern. Im Januar 2020 habe ich dazu meine Ideen zum 'Windows 7 Life-Extension'-Projekt (Win7LEP) skizziert. Die groben Ideen gibt es im Artikel Windows 7/Server 2008/R2 Life Extension-Projekt & 0patch Probemonat. Ich selbst werden sowohl einen Rechner mit ESU als auch mit dem 0patch-Agenten betreiben und drüber bloggen.

Wer Windows 7 über den 14. Januar 2020 hinaus betreiben will, steht aber plötzlich vor der Frage: Welche Software wird abgekündigt und habe ich einen Virenschutz ab dem EOL-Datum. Diese Fragen hatte ich in den folgenden Beiträgen beantwortet:

Microsoft Security Essentials schützt Windows 7 auch in 2020
Windows 7 Virenschutz ab 14.1.2020

Windows 7: Und Tschüss Internet Explorer 11 (Supportende)
Chrome-Support für Windows 7 bis mind. Mitte 2021
Windows 7: Auch Vivaldi bietet für 18 Monate Unterstützung

Virenscanner gibt es also und auch die Browser werden noch einige Zeit unter Windows 7 laufen. Und wer jetzt sagt: Genug ist genug, kann sich den Artikel Windows 7 Supportende: Ubuntu wirbt für den Umstieg zu Gemüte führen. Es gibt ein Leben nach Windows 7, und das heißt Linux.

Chromium-Edge ist da, IE hat 0-day-Schwachstelle

Ein 'Meilensteinchen' im Schuh der Windows-Nutzer war dann auch das offizielle Release des auf Googles Chromium-Projekt basierenden Edge-Browsers. Der Start erfolgte im stolpern, bekamen die Leute doch teilweise einen fremdsprachigen Browser installiert. Und einen Sicherheitpatch gab es auch bald. Wegen der dollen Kommunikation konnte ich gleich eine ganze Latte an Blog-Beiträgen raushauen, die die täglichen Korrekturen und Entwicklungen begleiteten.

Microsoft Chromium-Edge verfügbar
Microsoft Chromium-Edge verfügbar – erste Probleme
Edge Update auf 79.0.309.68, Sprachproblem behoben
Edge: Wechsel zur Chromium-Engine, was Unternehmen wissen sollten
Microsofts Chromium-Edge wird per Update verteilt
Edge alt und neu im Side-by-Modus betreiben
Chrome/Edge-Informationssplitter

Stefan Kanthak hatte sich den Installer (.exe) vorgenommen und ich habe einige Ergebnisse im Artikel Edge: Installer-Sicherheit mangelhaft veröffentlicht.

Damit kommen wir zum Thema Sicherheit und zum Internet Explorer. Im Internet Explorer gibt es eine 0-day-Schwachstelle, die von Microsoft bisher ungepatcht ist. Ich hatte im Blog-Beitrag Warnung: 0-Day-Schwachstelle im Internet Explorer (17.1.2020) über dieses Thema berichtet. Der Microsoft-Workaround erwies sich als 'Binse' mit einigen Kollateralschäden – von Anmeldeproblemen über Fehlfunktionen beim WMP bis hin zu Druckproblemen. Inzwischen hat ACROS Security einen Mikro-Patch für diese Schwachstelle veröffentlicht (siehe 0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674).

Nutzer des IE 10 müssen sich übrigens auch verabschieden und auf den IE 11 aktualisieren (siehe Windows Server 2012/Windows Embedded 8 Standard: Supportende für den Internet Explorer 10).

Sicherheitsvorfälle im Januar 2020

Den IE 11 hatte ich im vorigen Abschnitt angesprochen – die Schwachstelle wird aber wohl noch nicht ausgenutzt. Bei Microsoft gab es weitere, gravierende Schwachstellen in Produkten, die teilweise im Januar 2020 gepatcht wurden. Da waren die Schwachstelle in der Kryptografie-Bibliothek von Windows 10.

Windows: Kommt heute ein kritischer Kryptografie-Patch?
Windows: Neues zur NSA-Schwachstelle CVE-2020-0601

Hatte u.a. den Nebeneffekt, dass McAfee Probleme bekam (siehe Patchday: Probleme mit SCCM, McAfee & Crypt32.dll (Jan 2020)?). Und es gab eine Schwachstelle im RD-Gateway unter Windows Server (siehe Windows Server: Schwachstelle CVE-2020-0609 im Remote Desktop Gateway), die im Januar 2020 gepatcht wurde.

Auch bei Teams ist es mit der Sicherheit nicht so dolle (Microsoft Teams und die Sicherheit …). Von Intel wurden ebenfalls Sicherheitswarnungen und Updates freigegeben (Intel Sicherheitswarnungen (14. Januar 2020)).

Schlechter sieht es auf anderen Schauplätzen aus. Waren die letzten Wochen des Jahres 2019 in Punkto Ransomware und Sicherheitsvorfällen schon nicht lustig (Unis und Kommunen befallen), setzte sich das im Januar 2020 nahtlos fort. Da gab es das Desaster mit der 0-day-Schwachstelle im Citrix ADC (Netscaler), vor der ich im 24. Dezember 2019 gewarnt hatte. Wurde von Administratoren teilweise verpennt, so dass es einige Hacks gab, die die folgenden Artikel zeigen:

Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke
Exploit für Citrix ADC/Netscaler-Schwachstelle CVE-2019-19781
Achtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler
Patches für Citrix ADC/Netscaler 11.1/12.0 verfügbar (19.1.2020)
Citrix Schwachstelle: Neue Updates und Scanner für Tests
Cyberangriffe: Gedia & Potsdam Opfer des Shitrix-Desasters (Citrix Netscaler-Bug)?
Ragnarok Ransomware zielt auf Citrix ADC, stoppt Defender

Und es gab leider einige Hacks, Datenlecks und weitere Ransomware-Fälle zu berichten. Oft waren so viele Meldungen, dass ich diese in Sammelartikel aufgenommen habe. Hier ein kurzer Abriss:

Ransomware beim Webmaschinenhersteller Picanol
Albany Airport (NY) Opfer eines Ransomware-Befalls
Ransomware-Befall bei Canyon Bicycles GmbH/Koblenz
Ransomware-Befall beim Automobilzulieferer Gedia
Potsdam offline–Ungereimtheiten erzwingen Server-Shutdown
Datenleck beim Autovermieter Buchbinder
Sicherheitsvorfall mit Datenleck bei Mitsubishi Electric
Datenleck bei Microsoft: 250 Mio. Call-Center-Datensätze in Cloud öffentlich zugänglich
PussyCash-Datenleck betrifft Tausende Erotik-Modelle weltweit
Ryuk-Ransomware bei EWA Auftragnehmer des US-Militärs

Sicherheitsinformationen (3.1.2020)
Sicherheitsinformationen (28. Januar 2020)
Sicherheitsinformationen (31. Januar 2020)

An dieser Stelle die Feststellung 'die Einschläge kommen näher', wobei ich dann den Ratschlag 'wir brauchen mehr Cloud' zu hören bekomme. Ich mag nicht den apokalyptischen Reiter geben, aber ich werde das Gefühl nicht los, dass wir IT-technisch gerade einen Kipppunkt erleben, wo die möglichen Gewinne aus der zunehmenden Digitalisierung durch die Verluste aus Sicherheitsvorfällen aufgefressen werden. Statt besser wird die IT-Infrastruktur instabiler und unsicherer. Daher an dieser Stelle ein Hoch an alle Administratoren, die ihr Zeugs bisher am Leben gehalten haben und kollateralschädenfrei durch die letzten Monate bringen konnten. Schönen Sonntag.