Microsoft Windows: Minimalny obsługiwany poziom poprawek dla produktów WithSecure

Agenci WithSecure w systemie Microsoft Windows używają mechanizmu systemu Windows o nazwie Protected Process Light (PPL) w celu ochrony kluczowych usług przed manipulacją nawet przez użytkowników z uprawnieniami administratora. 

Firma Microsoft wprowadza nowe wymagania dotyczące podpisywania kodu dla plików binarnych PPL, które mają wpływ na wszystkich dostawców zabezpieczeń. Te pliki binarne muszą być teraz podpisane przy użyciu Azure Code Signing (ACS), podczas gdy wcześniej dostawcy mogli podpisywać przy użyciu własnego certyfikatu cyfrowego. Ten wymóg ACS z kolei wymaga, aby punkty końcowe klienta miały niezbędne zależności do sprawdzania poprawności podpisów ACS.

3 marca starszy certyfikat WithSecure do podpisywania plików binarnych PPL wygasł, a aktualizacje agenta wydane po tej dacie nie zostaną załadowane, chyba że są podpisane przez ACS oraz punkty końcowe klienta mają niezbędne zależności. Pliki binarne WithSecure podpisane przed tą datą zachowają ważność na wszystkich punktach końcowych. Brak załadowania plików binarnych PPL agenta oznaczałby utratę ochrony i monitorowania. WithSecure zapewnia, że funkcjonalność wcześniej zainstalowanych agentów została zachowana, zapobiegając instalacji aktualizacji na punktach końcowych, które nie spełniają zależności walidacji ACS. Ogólnie rzecz biorąc, nowe instalacje agentów WithSecure zakończą się niepowodzeniem na punktach końcowych, w których brakuje zależności ACS. Chociaż instalacja jest możliwa na urządzeniach bez poprawek, rdzeń bezpieczeństwa nie zostanie zainstalowany, a urządzenia te zgłoszą awarię wkrótce po instalacji.

Jesli klient zauważy, że instalacja aktualizacji Ultralight nie powiodła się, konieczne jest aby sprawdził czy system jest załatany zgodnie z powyższymi  szczegółami.

Których agentów WithSecure dotyczy problem?

Dotyczy to wszystkich wersji następujących produktów w systemie Microsoft Windows:

• WithSecure Elements Agents
  • Endpoint Protection
  • Endpoint Detection and Response 
•  WithSecure Countercept
• F-Secure Client Security
• F-Secure Server Security
• F-Secure Email and Server Security

Jakie są zależności walidacji ACS?

Istnieją dwie zależności:

• Instalacja poprawek zabezpieczeń wydanych przez firmę Microsoft we wrześniu i październiku 2021 r. zgodnie z dokumentacją tutaj.
• Instalacja certyfikatu CA „Microsoft Identity Verification Root Certificate Authority 2020”.

W przypadku następujących najnowszych wersji systemu Windows nie jest wymagane żadne działanie, ponieważ domyślnie obsługują one usługę ACS:

• Windows 11
• Windows 10 22H2
• Windows 10 21H2

Klienci mogą sprawdzić dostępność poprawek, korzystając z numerów Bazy Wiedzy (Knowledge Base - KB) udokumentowanych przez firmę Microsoft. Jednak sprawdzanie według indywidualnego numeru KB może być niewiarygodne, ponieważ poprawki mogą zostać wchłonięte przez późniejsze KB, co oznacza, że zależności można spełnić, nawet jeśli określona KB udokumentowana przez Microsoft nie została zainstalowana. Większość punktów końcowych Windows będzie już spełniać zależność certyfikatu CA, ponieważ nowe certyfikaty główne są pobierane za pośrednictwem mechanizmów automatycznej aktualizacji. Jednak klienci, którzy wyłączyli mechanizm automatycznej aktualizacji, będą musieli upewnić się, że nowy certyfikat Microsoft CA jest na swoim miejscu.

AKTUALIZACJA 16.5.2023: Centrum Bezpieczeństwa WithSecure Elements będzie informować administratorów o hostach, które nie spełniają tych wymagań, wraz z wyjaśnieniem, aby mogli zastosować wymagane poprawki firmy Microsoft.

AKTUALIZACJA 22.5.2023: WithSecure wydał teraz poprawki dla Client Security, Server Security oraz Email and Server Security, które administrator Business Suite może wdrożyć na urządzeniach, które zostały załatane. Poprawki spowodują ponowną instalację Security Core i można je znaleźć w odpowiednim produkcie pod adresem Centrum pobierania WithSecure™