De patchronde van gisteren brengt updates om maar liefst 49 beveiligingslekken te dichten in Windows, Windows-componenten als Internet Explorer, en applicatiepakket Office. Daaronder ook één van de zero-day lekken waar de complexe Stuxnet-worm gebruik van maakt om binnen te dringen op Windows-systemen waar industriële beheersoftware van Siemens op draait.

Van 4 naar 2 naar 1

Stuxnet heeft aanvankelijk maar liefst 4 voorheen onbekende beveiligingsgaten in Microsoft-software gebruikt, naast ook zwakheden in de programmatuur van Siemens. Microsoft heeft in zijn patchronde van vorige maand 2 gaten gedicht en de 2 overige nog opengelaten. Nu wordt wederom het Stuxnet-gevaar gehalveerd, tenminste de dreiging van de huidige variant.

Vorige maand heeft Microsoft al gesteld dat de twee nog openstaande Stuxnet-gaten minder kritiek zijn, vandaar het uitstel voor het dichten daarvan. Het is onbekend of het resterende lek in de volgende patchronde aan bod komt. Voor het eerste Stuxnet-lek achtte Microsoft haast wel geboden; dat gat is gedicht met een noodpatch, dus buiten de geplande maandelijkse patchcyclus om.

Verouderd, maar kritiek

Overigens valt de ernst van het openlaten van deze gaten ook mee om geheel andere reden. Veel van de computers in fabrieksomgevingen draaien oudere Windows-versies, en worden niet of nauwelijks bijgewerkt met updates. Als die patches al beschikbaar zijn voor hun oudere software, zoals XP met service pack 2 (SP2) wat Microsoft niet meer ondersteunt.

Het - al dan niet bewust - achterlopen met updates heeft een gegronde reden. Die wijzigingen kunnen namelijk de kritieke omgeving verstoren of ervoor zorgen dat de gebruikte industriële software officieel niet meer wordt ondersteund. Vaak vereist een nieuwer besturingssysteem (op basis van versie of simpelweg service pack of patch-level) ook een nieuwere versie van de applicatiesoftware die het draait. Dat is een kostbare zaak, ook als dat geen aanschaf vereist; implementatie kost immers ook tijd en geld.

Nederland

Hetzelfde geldt voor de patch die Siemens heeft uitgebracht om zijn software voor beheer en aansturen van fabrieksprocessen te beveiligen tegen Stuxnet. De Nederlandse industriële dienstverlener Task24 heeft Webwereld al verteld dat het niet weet van ook maar één bedrijf dat de belangrijke Siemens-patch heeft uitgerold.