[English]Gute Nachrichten für Nutzer von Windows 7 SP1 und womöglich von Windows Server 2008 R2. Es gibt wohl eine steigende Nachfrage, diese längst ihr End-of-Life (EOL) erreicht habenden Betriebssysteme weiter sicher zu betreiben. ACROS Security hat nun bekannt gegeben, dass man diese Windows-Versionen mit 0patch bis Januar 2027 unterstützen wird.
Anzeige
Ich bin die Nacht über nachfolgenden Tweet auf das Thema gestoßen, welches im Beitrag How long do you plan to provide Windows 7 and Windows Server 2008 R2 Micropatches? angesprochen wird.
ACROS Security gibt dort bekannt, dass man die Unterstützung (zuerst bis Januar 2025 geplant) nun bis Januar 2027 ausweiten will. Bis zu diesem Datum will man opatch Mikropatches für Windows 7- und Server 2008 R2-Systeme bereitstellen, obwohl diese das Ende des Supports erreicht haben.
Und es gibt noch eine Aussage: Die Leute um Mitja Kolsek wollen diese Frist verlängern, solange es eine ausreichende Marktnachfrage gibt. Das könnte bedeuten, dass Mikropatches für Windows 7 oder Server 2008 R2 bis zum Jahr 2030 bereitgestellt werden könnten.
Anzeige
0patch-Agent und –Konto erforderlich
Zur Nutzung der Mikropatches wird der 0patch-Agent benötigt, der sich kostenlos von der opatch-Webseite herunterladen und dann unter Windows installieren lässt. Der Installer und der Agent benötigt zur Ausführung Administratorrechte.
Nach der erfolgreichen Installation ist ein entsprechender 0Patch-Dienst unter Windows 7 eingerichtet, der immer läuft. Hier einige Informationen, was man wissen sollte.
- Dieser Dienst zieht sich, sobald alles eingerichtet wurde, die für das Benutzerkonto verfügbaren Patches und legt diese in einer internen Datenbank ab. Das Einrichten erfolgt über die 0patch-Konsole (siehe unten).
- Der Dienst sorgt dafür, dass beim Start von Windows 7 die aufgerufenen Module überwacht werden können.
- Wird eine Anwendung oder ein Windows-Modul in den Speicher geladen, für das ein Micropatch existiert, injiziert der Dienst anschließend den betreffenden Code in den RAM-Bereich des geladenen Moduls.
Das ist ein funktional komplett anderer Ansatz als das bei Microsofts Updates geregelt wird. Ein Microsoft Update wird unter Windows 7 installiert, wobei u.U. eine Reihe Dateien ausgetauscht werden. Ist das Microsoft Update installiert, verbleiben die Patches auf der Maschine.
Die Bedienung erfolgt über die 0patch-Konsole, die per Windows-Startmenü aufrufbar ist. Zum Abrufen der Mikropatches in der 0patch-Konsole benötigt man ein Benutzerkonto beim Anbieter 0patch. Der Anbieter ACROS Security offeriert dabei verschiedene Modelle, die ich im Blog-Beitrag Windows 7/Server 2008/R2 Life Extension-Projekt & 0patch Probemonat bereits beschrieben habe.
Für private Einsatzzwecke wird ein Free-Account angeboten, den ich vor Jahren zur Absicherung von Windows 7 verwendet habe. Für Firmen gibt es auch kostenpflichtige Kontenvarianten für einen geringen Preis pro Jahr.
Hinweise zur Arbeitsweise des 0patch-Agenten, der die Micropatches zur Laufzeit einer Anwendung in den Arbeitsspeicher lädt, finden sich in den Blog-Beiträgen (z.B. hier und hier), die ich nachfolgend verlinkt habe.
Ähnliche Artikel:
0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674
0patch-Fix für Windows Installer-Schwachstelle CVE-2020-0683
0patch-Fix für Windows GDI+-Schwachstelle CVE-2020-0881
0-Day-Schwachstelle in Windows Adobe Type Library
0patch fixt 0-day Adobe Type Library bug in Windows 7
0patch fixt CVE-2020-0687 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1048 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1015 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1281 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1337 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1530 in Windows 7/Server 2008 R2
0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2
0patch fixt CVE-2020-1013 in Windows 7/Server 2008 R2
0patch fixt Local Privilege Escalation 0-day in Sysinternals PsExec
0patch fixt Windows Installer 0-day Local Privilege Escalation Schwachstelle
0patch fixt 0-day im Internet Explorer
0patch fixt CVE-2021-26877 im DNS Server von Windows Server 2008 R2
0patch fixt Windows Installer LPE-Bug (CVE-2021-26415)
0Patch bietet Support für Windows 10 Version 1809 nach EOL
Windows 10 V180x: 0Patch fixt IE-Schwachstelle CVE-2021-31959
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
0patch-Fix für neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)
0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)
2. 0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)
Windows 10: 0patch-Fix für MSHTML-Schwachstelle (CVE-2021-40444)
0patch fixt LPE-Schwachstelle (CVE-2021-34484) in Windows User Profile Service
0patch fixt LPE-Schwachstelle (CVE-2021-24084) in Mobile Device Management Service
0patch fixt InstallerTakeOver LPE-Schwachstelle in Windows
0patch fixt ms-officecmd RCE-Schwachstelle in Windows
0patch fixt RemotePotato0-Schwachstelle in Windows
0patch fixt erneut Schwachstelle CVE-2021-34484 in Windows 10/Server 2019
0Patch fixt Schwachstellen (CVE-2022-26809 und CVE-2022-22019) in Windows
Windows MSDT 0-day-Schwachstelle "DogWalk" erhält 0patch-Fix
0Patch Micro-Patch gegen Follina-Schwachstelle (CVE-2022-30190) in Windows
0patch fixt Memory Corruption-Schwachstelle (CVE-2022-35742) in Microsoft Outlook 2010
Windows 7/Server 2008 R2: Erhalten auch 2023 und 2024 0patch Micropatches
Windows: 0Patch Micropatch für MOTOW-ZIP-File-Bug (0-day, kein CVE)
Windows: 0Patch Micropatch für MotW-Bypassing 0-day (kein CVE)
Windows Server 2012: Inoffizieller 0patch-Fix für MoW 0-day-Schwachstelle
Windows: 0patch für 0-day URL File NTLM Hash Disclosure-Schwachstelle
Anzeige
Kommen die Ursprungspatches von Microsoft selbst? Patcht Microsoft noch Server-2008 bis 2027/2030?
Ja, Aussage von ACROS Security: "Volume license customers who purchased Microsoft's Premium Assurance program (available between March 2017 and July 2018) can still get Microsoft's updates for Windows Server 2008 R2 until January 2026."
Warum wird eigentlich 0patch so intensiv beworben? Eine veraltete Windows Version mit einem third-party-tool am Leben zu halten ist etwas was ich unter keinen Umständen machen würde.
Es ist ja kein Linux mit Open Source Kernel und Software
Weil es immer noch dafür Verwendung gibt!
Nur weil Du es nicht brauchst, egal – aber die Welt will es!
VG
Weil es Anwendungsfälle dafür gibt… und nen hardened W7 in den Händen eines Profis sicherer ist als nen Win11 in den Händen einen DAUs!
Nur weil die eigene Welt nen Tellerrand hat, bedeutet das nicht das dieser Tellerand auch existiert ;-P
Kannst Du doch halten wie Du willst. Hier im Blog informiere ich – wenn ich aktiv bewerbe, wird das als "Werbung" gekennzeichnet.
Die Leute bei ACROS Security wissen schon, was sie tun. Da werden Patches von Microsoft sowie von MS nicht gefixte, aber von Sicherheitsforschern dokumentierte, Schwachstellen analysiert und dann durch Micro-Patches ausgebügelt. Bei ACROS Security bekommst Du oft Fixes für 0-day-Schwachstellen, wo MS erst Wochen oder Monate oder gar nicht zu Potte kommt.
Grundsätzlich: Es gibt Leute, die fahren weiter mit Win 7 oder Server 2008 R2 – aus welchen Gründen auch immer. Wenn mein Win 7-System nicht von der Hardware kaputt gegangen wäre, würde ich vermutlich immer noch darauf bloggen – so ist es halt ein refubished Dell mit Win 10 2019 IoT Enterprise LTSC geworden.
Und nur so ein Gedanke: Es könnte ja jemand auf die Idee kommen, ein Windows 7 arg abgespeckt für seine VMs bereitzustellen, um dort ältere Software laufen zu lassen und unter Linux zu virtualisieren. Da ist die 0patch-Lösung schon sehr hilfreich.
Rechner zur Steuerung von Produktionsmaschinen würden mir da auch noch als Beispiel einfallen. Die Dinger haben teilweise Spezialhardware drin um mit der Maschine zu sprechen und diese hat keine Treiber/Freigabe für Win10/11. Und/oder die Softwareversion ist nur für Windows 7 freigegeben. Da solche Maschinen eher lange halten und verdammt teuer werden können ist die 0Patch Lösung besser als gar keine Updates mehr. Austausch des Steuer-PCs ist auch in der Regel teurer, wenn überhaupt möglich, muss ja kompatibel zur Steuereinheit in der Maschine bleiben.
Und komplett vom Netzwerk trennen geht nicht, wenn du für den Datenaustausch nicht wieder mit USB-Sticks laufen willst.
************************
für Nutzer von Windows 7 SP1
************************
Ist aber irgendwie sinnbefreit, denn Windows 7 gabs das SP3 wenn sollte man doch da aufsetzen und nicht auf ein SP1 ???
ich glaub da verwechselst du was….
NT4 = max SP5
2000 = max SP4
XP = max SP3
Vista = max SP2
7 = max SP1
ab 8.0 = keine SPs mehr
Korrektur bei NT4 gabs noch SP6 bzw 6A
Und nach SP6A noch ein Sammelupdate, was eigentlich das SP7 ist.
Microsoft hat damals aber aus mir heute nicht mehr bekannten Gründen davon Abstand genommen, es als SP7 zu bezeichnen.
Wie kommen manche immer auf SP3? Das gibt es nicht von MS
M.W. gab es kein SP3 (es gab nur ein Image mit allen Patches bis zum Zeitpunkt X). Leg nicht alles auf die Goldwaage – Basis für 0patch ist ein Windows 7 SP1, was bis zum EOL (oder Ende ESU) mit Sicherheitsupdates ausgestattet wurde.
ein solches ISO kann sich ja irgend jemand selbst zusammenklöppeln und es dann
"SP 500 SL Extra Plus Pro" nennen und irgendwo verteilen. Trotzdem gab es das dann natürlich nicht wirklich.
Mea Culpa… hab ich tatsächlich verwechselt… xp sp3 war das, Win 7 SP1 und dann haben sie ja aufgehört das Service Pack zu nennen.
Mit KB3125574 hat Microsoft 2016 eine Art inoffiziellen Service Pack 2 für Windows 7 bereitgestellt, der alle Updates zusammenfasst, die seit SP1 erschienen waren. Aber was Offizielles wurde nie nachgereicht. Dafür gab es das Angebot, kostenlos zu Windows 10 zu wechseln. Fanden viele Windows 7-Leute total super und haben massenhaft "Nein, danke" gesagt: "Könnt ihr behalten."
wo hast du den Quatsch denn wieder her, Spambot?
Haben einige Modellbahner im Kundenkreis, die aufgrund alter Anlagen und alter Software noch auf Windows7 schwören und nur sehr sporadisch damit ins Internet müssen. Manche altgediente Arztpraxis hat auch z.B. offline-Steuer-PCs fuer unkaputtbare Mess-/Labortechnik auf Win7, wo nur zwecks Fernwartung ein Netzwerkkabel angeschlossen wird.
Das würde mich jetzt mal interessieren, von welcher Software hier die Rede ist. Ich bin auch Modellbahner und Ad hoc fällt mir nichts ein. Die Softwareprodukte der Hersteller sind soweit aktuell gepflegt, dass sie auf einem aktuellen Windows laufen. Vielleicht gibt es irgendeine gut angehangene Drittsoftware, die vom Entwickler aufgegeben wurde, oder man will sich die Upgradekosten der Anlagensteuerungssoftware auf eine neuere Version sparen.
Und diese "offline"Steuer-PCs mit Netzwerkkabel für Fernwartung ( bestimmt über Internet) hängen garantiert im normalen Praxisnetz direkt neben den TI-Konnektor weil man sich eine Routerkaskade gespart hat.
Und die MFA macht auch garantiert nix mit dem alten IE oder der Fernwartungssupport ….
Man oh Man.
Vor allem im Gesundheitswesen hat alte Software nix verloren.
Und wenn die Alternative extrem teuer ist?
Auch im Gesundheitswesen gibt es Geräte, die extrem teuer sind und die man nicht alle paar Jahre erneuert.
Beispielsweise Computer- und Kernspointomographen kostet deutlich über 1 Mio Euro. Und die tauscht man nicht alle 5 oder 10 Jahre aus.
Die laufen oft 20-30 Jahre und da in den Steuerungen Spezialhardware steckt, kann man da auch nicht einfach das Betriebssystem tauschen.
Ist wie bei der Arztpraxis. In den GOÄ Ziffern sind alle Unkosten mit abgedeckt. D.h. die KK bezahlen den Ärzten immer auch die IT die sie im gegenzug Anspruchsgemäß aktuell halten sollen.
So Kostet zum Beispiel eine MPG zugelassene Personenwaage 600€, eine bei Amazon 10. Die Mehrkosten für Ordnungsgemäße Geräte, deren Regelmäßiger Wartung und Überprüfung sind in den GoÄ Ziffern drin. Dafür gibt es dann für einmal auf der Waage stehen zwischen 1,75 und 4,35 €.