Po 10 latach od wydania zakończyło się wsparcie techniczne dla systemu Windows 7 i Windows Server 2008. Oznacza to, iż dla tego systemu nie będą już wypuszczane aktualizacje i – co ważne z punktu widzenia bezpieczeństwa – łatki na wykryte podatności.
W związku z tym zalecamy aktualizację systemu Windows 7 do wersji 10, a Windows Server 2008 do wersji 2019.
Co może się wydarzyć?
Każdego roku wykrywanych jest co najmniej kilka błędów wpływających na bezpieczeństwo korzystania z systemu. Jako przykłady można wymienić:
- CVE-2014-4114 pozwalające atakującemu na wykonanie kodu poprzez spreparowany plik pakietu Office
- CVE-2019-0708 „BlueKeep” pozwalające na zdalne wykonanie kodu przez protokół RDP
- CVE-2020-0611 pozwalające na przejęcie kontroli nad komputerem poprzez połączenie ze spreparowanym serwerem RDP atakującego
Dotychczas po odnalezieniu podobnego błędu firma Microsoft przygotowywała łatkę zanim przestępcy byli w stanie wykorzystać podatność do ataków na użytkowników na masową skalę. Sytuacja zmieniła się po zakończeniu wsparcia. w tej chwili system nie będzie już aktualizowany, a więc i błędy, które mogłyby przestępcom umożliwić zainfekowanie nas złośliwym oprogramowaniem, nie będą poprawiane.
Czy mam powody do paniki?
Nie ma powodów do obaw – w tej chwili nie są znane żadne krytyczne podatności na Windows 7 z najnowszymi aktualizacjami. Mimo to zalecamy nie zwlekać i dokonać aktualizacji do wspieranego systemu w najbliższym możliwym terminie.
Nie wygaśnie również wsparcie dla wbudowanej ochrony antywirusowej Microsoft Security Essentials – ta będzie wspierana aktualizacjami o najnowszych zagrożeniach aż do 2023 roku.
Co jeżeli nie mogę sobie pozwolić na aktualizację?
Koniec wsparcia może okazać się zbyt dużym wyzwaniem dla firm posiadających wiele stacji roboczych. Dla takich przypadków Microsoft zostawił furtkę w postaci programu Extended Security Updates. Jest to płatna subskrypcja na łatki krytycznych podatności bezpieczeństwa, którą organizacje będą mogły zakupić jeszcze przez najbliższe 3 lata.
Przeszkodą dla aktualizacji nie powinien być zbyt stary sprzęt, ponieważ minimalne wymagania sprzętowe deklarowane przez Microsoft dla Windows 7 i Windows 10 są identyczne.
Windows XP i EternalBlue
Warto przy okazji wspomnieć o przypadku związanym z podatnością EternalBlue z 2017 roku wykorzystaną między innymi w “głośnym” osławionym ransomware WannaCry. Błąd ten był na tyle poważny, iż Microsoft zdecydował się wypuścić aktualizację bezpieczeństwa do niewspieranego już systemu Windows XP. Podobna sytuacja zaistniała w przypadku błędu Bluekeep, tym razem jednak łatka była dostępna do pobrania wyłącznie za pośrednictwem Microsoft Update Catalog. Takie zachowanie firmy spowodowane było jednak ogromną skalą ataku i były to jedyne takie przypadki w historii – nie należy więc spodziewać się podobnych akcji naprawczych w przyszłości.