image

Aanvallers zoeken actief naar kwetsbare Exchange-servers

donderdag 27 februari 2020, 07:27 door Redactie, 31 reacties

Aanvallers zoeken actief naar kwetsbare Exchange-servers die een belangrijke update missen die eerder deze maand door Microsoft werd uitgebracht. Via de kwetsbaarheid kan een aanvaller, die toegang tot het e-mailaccount van een gebruiker op de server heeft, willekeurige code met systeemrechten uitvoeren.

Op deze manier kan een aanvaller volledige controle over de server krijgen en bijvoorbeeld het e-mailverkeer onderscheppen en manipuleren. Het beveiligingslek werd via het Zero Day Initiative (ZDI), een programma dat onderzoekers betaalt voor het melden van onbekende kwetsbaarheden, aan Microsoft gemeld. Inmiddels heeft het ZDI ook een technische analyse van het lek gepubliceerd. Kort na de publicatie werden er al "grootschalige scans" op internet waargenomen die naar Exchange servers zochten, zo meldt beveiligingsonderzoeker Kevin Beaumont. Ook securitybedrijf Bad Packets meldt dat aanvallers naar Exchange-servers zoeken.

Doordat een aanvaller moet kunnen inloggen op een e-mailaccount op de server heeft Microsoft de kwetsbaarheid als "belangrijk" bestempeld in plaats van "kritiek". Volgens het ZDI is die beoordeling onterecht. "Binnen een bedrijf kan bijna elke gebruiker zich op de Exchange-server authenticeren. Daarnaast kan een externe aanvaller die de inloggegevens of het systeem van een gebruiker heeft gecompromitteerd de Exchange-server overnemen. Beheerders moeten dit dan ook als een kritieke patch beschouwen en zo snel als mogelijk na het testen uitrollen", aldus Simon Zuckerbraun van het ZDI. Microsoft verwacht dat aanvallers op korte termijn misbruik van het lek zullen maken.

Reacties (31)
27-02-2020, 08:04 door Anoniem
Exchange, dat is toch de interne mailoplossing van Microsoft die je nooit en te nimmer aan het internet mag koppelen?
Vooral niet doen dus mensen ;)
27-02-2020, 10:25 door karma4
Door Anoniem: Exchange, dat is toch de interne mailoplossing van Microsoft die je nooit en te nimmer aan het internet mag koppelen?
Vooral niet doen dus mensen ;)
Android en IOS zijn ook lek, moet je ook niet aan publieke netwerken hangen ….
Lees even beter, de discussie ZDI microsoft gaat er over dat vanuit het externe netwerk er nog wat voor zit.
Vanuit het interne netwerk zou de aanval moeten komen. Je laat willekeurige devices op je kritieke eigen netwerk delen toe?
Dan heb je nog wel een groter probleem dat begint bij het compleet missen van informatieveiligheid.

Gebruik gewoon overal root - domain admin met open internet en onbetrouwbare apparaten, wat zou de kans op een ernstige hack zijn? Dit is wat ik telkens weer teruglees als de grootste gemaakte fout..
27-02-2020, 10:37 door Anoniem
Door Anoniem: Exchange, dat is toch de interne mailoplossing van Microsoft die je nooit en te nimmer aan het internet mag koppelen?
Vooral niet doen dus mensen ;)
Of gewoon de update uitvoeren!
27-02-2020, 10:43 door Anoniem
by the web application, which runs as SYSTEM
How low can you go... een web applicatie die draait als SYSTEM, dan moet je toch wel 20 jaar onder een steen geleefd hebben!
27-02-2020, 12:42 door Anoniem
Door karma4:
Android en IOS zijn ook lek, moet je ook niet aan publieke netwerken hangen ….
Lees even beter, de discussie ZDI microsoft gaat er over dat vanuit het externe netwerk er nog wat voor zit.
Vanuit het interne netwerk zou de aanval moeten komen. Je laat willekeurige devices op je kritieke eigen netwerk delen toe?
Dan heb je nog wel een groter probleem dat begint bij het compleet missen van informatieveiligheid.

Gebruik gewoon overal root - domain admin met open internet en onbetrouwbare apparaten, wat zou de kans op een ernstige hack zijn? Dit is wat ik telkens weer teruglees als de grootste gemaakte fout..
Grappig dat je reageert. Omdat het Exchange is (een Microsoft-product) waar het mis gaat, dan ligt het aan de instellingen die de beheerder maakt (standaard als administrator). Zou dit om een FOSS programma gaan, dan ligt het aan het ontwerp.

Niet erg consequent, Karma4.
27-02-2020, 12:43 door souplost
Dit is een zeer ernstig lek. Een special geprepareerd mailtje is voldoende om de server over te nemen omdat exchange proces met alle systeem rechten draait (typisch Windows). Doorstoten in het domein is dan betrekkelijk eenvoudig. Het maakt ook niet uit waar de gebruikers zitten, als ze maar toegang hebben tot hun mail account. Volgens berichten van Microsoft is een mailtje sturen (mail of death) naar de server al voldoende. Nu nog hopen dat ms update werkt.
27-02-2020, 14:00 door karma4 - Bijgewerkt: 27-02-2020, 14:05
Door Anoniem: Grappig dat je reageert. Omdat het Exchange is (een Microsoft-product) waar het mis gaat, dan ligt het aan de instellingen die de beheerder maakt (standaard als administrator). Zou dit om een FOSS programma gaan, dan ligt het aan het ontwerp. ...
Niet erg consequent, Karma4.
Je snapt echt niet wat de achtergrond van informatieveiligheid is. Ik heb niets met wat voor leverancier dan ook.
Ik ben wel behoorlijk geschrokken en heb er last van met dat evangelisme rond Linux dat een OS alles van veiligheid zou oplossen. Nog ergerlijker dat anderen alle problemen wel gratis en voor niets zouden doen. De groot commercielen varen daar wel bij met hun verkoopverhalen. (zie oa: Citrix en pulse). Het draaien met alle rechten (root) is typisch Linux.

Mijn terugkerende verhaal is gebrek aan scheiding met service accounts high privileged accounts waar
- de administrator van de dag wat aanrommelt omdat het dan werkt.
- de manager het allemaal best vindt als het maar werkt en niet te veel kost.
Met SAF en de mainframe achtergrond kun je met een compleet andere insteek komen omdat die ontworpen waren met veiligheid van de processen en resources. Nee ze zijn intussen achterhaald door de goedkopere alternatieven.
https://www.ibm.com/support/knowledgecenter/SSAW57_liberty/com.ibm.websphere.wlp.nd.multiplatform.doc/ae/twlp_config_security_saf.html De uitzondering als er geen user bekend is WSGUEST.
27-02-2020, 14:35 door Tintin and Milou
Door Anoniem:
by the web application, which runs as SYSTEM
How low can you go... een web applicatie die draait als SYSTEM, dan moet je toch wel 20 jaar onder een steen geleefd hebben!
Het is niet het webserver component dat het issue heeft.

Door souplost: Dit is een zeer ernstig lek. Een special geprepareerd mailtje is voldoende om de server over te nemen omdat exchange proces met alle systeem rechten draait (typisch Windows). Doorstoten in het domein is dan betrekkelijk eenvoudig. Het maakt ook niet uit waar de gebruikers zitten, als ze maar toegang hebben tot hun mail account. Volgens berichten van Microsoft is een mailtje sturen (mail of death) naar de server al voldoende. Nu nog hopen dat ms update werkt.
Psst:
https://www.security.nl/posting/625940/Mailservers+opnieuw+kwetsbaar+door+ernstig+Exim-lek
https://www.security.nl/posting/618563/Mailservers+kwetsbaar+door+beveiligingslek+in+Exim
Voor een totaal overzicht: https://www.security.nl/search?origin=frontpage&keywords=exim
Vorig jaar was exim namelijk een gaten kaas met exact het zelfde issue. Gewoon mail of death sturen en je hebt volledig controle over de server.. Ik heb je toen alleen geen commentaar hierop zien geven over "typisch" Linux.

Maar eventueel iets meer actueel:
https://www.security.nl/posting/645749/OpenSMTPD+remote+code+execution
27-02-2020, 15:11 door Erik van Straten - Bijgewerkt: 27-02-2020, 15:27
Door souplost: Een special geprepareerd mailtje is voldoende om de server over te nemen
Je post in de verkeerde thread: dit geldt voor 2 recente lekken in OpenSMTPD (zie ook de bijdrage van Tintin and Milou hierboven).

Het lijkt mij beter voor iedereen als jij helpt om open source veiliger te maken in plaats van onzin uit te kramen over producten waar je niets van afweet.

Hoewel de Exchange kwetsbaarheid niet uit te buiten valt met een mailtje, is deze wel degelijk ernstig. En een enorme blunder van Microsoft omdat:
1) haar programmeurs een hard-coded cryptografisce sleutel in de sources opnemen en
2) dat Microsoft's eigen testers dit niet ontdekken (maar een externe partij wel).

Om het lek uit te kunnen buiten heb je de credentials van een OWA gebruiker nodig, maar daar valt in veel gevallen met wat social engineering (en/of bijv. een Android trojan, zie https://security.nl/posting/645869) wel aan te komen. Bovendien hergebruiken veel mensen hun wachtwoorden en liggen credential-stuffing attacks (waarbij eerder gelekte gegevens, vaak e-mail-adres + password) worden geprobeerd. Vooral voor middelgrote organisaties (die een eigen exchange server draaien en te laat of nooit patchen, of van too low budget hosted exchange gebruikmaken), zou dit wel eens een flink risico kunnen betekenen.

Zie ook https://www.security.nl/posting/645820/Exchange+vuln+RCE+as+SYSTEM+-+CVE-2020-0688 of lees (voordat je maar wat roept) https://www.zerodayinitiative.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys - waar ook de redactie bovenaan deze pagina naar verwijst.
27-02-2020, 15:11 door Anoniem
Door karma4:
Door Anoniem: Grappig dat je reageert. Omdat het Exchange is (een Microsoft-product) waar het mis gaat, dan ligt het aan de instellingen die de beheerder maakt (standaard als administrator). Zou dit om een FOSS programma gaan, dan ligt het aan het ontwerp. ...
Niet erg consequent, Karma4.
Je snapt echt niet wat de achtergrond van informatieveiligheid is. Ik heb niets met wat voor leverancier dan ook.
Ik ben wel behoorlijk geschrokken en heb er last van met dat evangelisme rond Linux dat een OS alles van veiligheid zou oplossen. Nog ergerlijker dat anderen alle problemen wel gratis en voor niets zouden doen. De groot commercielen varen daar wel bij met hun verkoopverhalen. (zie oa: Citrix en pulse). Het draaien met alle rechten (root) is typisch Linux.

Mijn terugkerende verhaal is gebrek aan scheiding met service accounts high privileged accounts waar
- de administrator van de dag wat aanrommelt omdat het dan werkt.
- de manager het allemaal best vindt als het maar werkt en niet te veel kost.
Met SAF en de mainframe achtergrond kun je met een compleet andere insteek komen omdat die ontworpen waren met veiligheid van de processen en resources. Nee ze zijn intussen achterhaald door de goedkopere alternatieven.
https://www.ibm.com/support/knowledgecenter/SSAW57_liberty/com.ibm.websphere.wlp.nd.multiplatform.doc/ae/twlp_config_security_saf.html De uitzondering als er geen user bekend is WSGUEST.

".. Het draaien met alle rechten (root) is typisch Linux.."
Linux kent juist een uitgebreide User and Grouppolicy
https://www.digitalocean.com/community/tutorials/how-to-add-delete-and-grant-sudo-privileges-to-users-on-a-debian-vps
"New users, by default, are unprivileged. This means that they will only be able to modify files in their own home directory, which is what we want."
Je kan als beheerder iedere gebruiker natuurlijk "root rechten" toekennen, maar dat is hetzelfde als alle deuren en ramen van je huis open laten staan. Het kan, maar alleen onverstandige beheerders doen dat.

De door jou genoemde SAF (system authorisation facility) van IBM is een onderdeel van z/OS, dat MVS en UNIX System Services (!) combineert.
https://en.wikipedia.org/wiki/Z/OS
Dus z/OS is familie van Linux. Grappig.
27-02-2020, 16:31 door Anoniem
Door Anoniem:
Door karma4:
Door Anoniem: Grappig dat je reageert. Omdat het Exchange is (een Microsoft-product) waar het mis gaat, dan ligt het aan de instellingen die de beheerder maakt (standaard als administrator). Zou dit om een FOSS programma gaan, dan ligt het aan het ontwerp. ...
Niet erg consequent, Karma4.
Je snapt echt niet wat de achtergrond van informatieveiligheid is. Ik heb niets met wat voor leverancier dan ook.
Ik ben wel behoorlijk geschrokken en heb er last van met dat evangelisme rond Linux dat een OS alles van veiligheid zou oplossen. Nog ergerlijker dat anderen alle problemen wel gratis en voor niets zouden doen. De groot commercielen varen daar wel bij met hun verkoopverhalen. (zie oa: Citrix en pulse). Het draaien met alle rechten (root) is typisch Linux.

Mijn terugkerende verhaal is gebrek aan scheiding met service accounts high privileged accounts waar
- de administrator van de dag wat aanrommelt omdat het dan werkt.
- de manager het allemaal best vindt als het maar werkt en niet te veel kost.
Met SAF en de mainframe achtergrond kun je met een compleet andere insteek komen omdat die ontworpen waren met veiligheid van de processen en resources. Nee ze zijn intussen achterhaald door de goedkopere alternatieven.
https://www.ibm.com/support/knowledgecenter/SSAW57_liberty/com.ibm.websphere.wlp.nd.multiplatform.doc/ae/twlp_config_security_saf.html De uitzondering als er geen user bekend is WSGUEST.

".. Het draaien met alle rechten (root) is typisch Linux.."
Linux kent juist een uitgebreide User and Grouppolicy
https://www.digitalocean.com/community/tutorials/how-to-add-delete-and-grant-sudo-privileges-to-users-on-a-debian-vps
"New users, by default, are unprivileged. This means that they will only be able to modify files in their own home directory, which is what we want."
Je kan als beheerder iedere gebruiker natuurlijk "root rechten" toekennen, maar dat is hetzelfde als alle deuren en ramen van je huis open laten staan. Het kan, maar alleen onverstandige beheerders doen dat.

De door jou genoemde SAF (system authorisation facility) van IBM is een onderdeel van z/OS, dat MVS en UNIX System Services (!) combineert.
https://en.wikipedia.org/wiki/Z/OS
Dus z/OS is familie van Linux. Grappig.


En alleen de prutsende Windows beheerders maken iedereen (local) admin. Wat is je punt precies? Misconfiguraties komen op alle systemen voor, niet alleen maar bij Windows of Linux based systemen. Zie ook de nieuws berichten over de buckets of AWS :)
27-02-2020, 18:17 door Joep Lunaar
Door Erik van Straten: ...
Hoewel de Exchange kwetsbaarheid niet uit te buiten valt met een mailtje, is deze wel degelijk ernstig. En een enorme blunder van Microsoft omdat:
1) haar programmeurs een hard-coded cryptografisce sleutel in de sources opnemen en
2) dat Microsoft's eigen testers dit niet ontdekken (maar een externe partij wel).

Inderdaad en ook wordt nog SHA1 als hash gebruikt. Zal wel niet direct een gevaar opleveren, maar mag zo langzamerhand wel worden uitgefaseerd. Toch wel iets wat men mag verwachten van een bedrijf dat een ongekende winstmarge (orde 85%) heeft op deze producten.

Zie overigens ook https://advisories.ncsc.nl/advisory?id=NCSC-2020-0116.
27-02-2020, 19:43 door Joep Lunaar - Bijgewerkt: 27-02-2020, 19:57
Door Anoniem: ...
En alleen de prutsende Windows beheerders maken iedereen (local) admin. Wat is je punt precies? Misconfiguraties komen op alle systemen voor, niet alleen maar bij Windows of Linux based systemen. Zie ook de nieuws berichten over de buckets of AWS :)
Juist, maar het niet alleen om de individuele beheerder. Ook is van belang wijze waarop systemen out-of-the-box zijn ingericht, wat de algemene inrichtingswijze is en daar gaat het eerst al mis. De defaults die Microsoft kiest zijn vaak ongelukkig (standaard gebruiker van een niet zakelijke PC: is administrator; verborgen extensies van bestandsnamen, enz enz enz enz enz enz)
27-02-2020, 21:30 door souplost
Door Tintin and Milou:
Door Anoniem:
by the web application, which runs as SYSTEM
How low can you go... een web applicatie die draait als SYSTEM, dan moet je toch wel 20 jaar onder een steen geleefd hebben!
Het is niet het webserver component dat het issue heeft.
With the help of YSoSerial.net, an attacker can execute arbitrary .NET code on the server in the context of the Exchange Control Panel web application, which runs as SYSTEM.

Door souplost:Dit is een zeer ernstig lek. Een special geprepareerd mailtje is voldoende om de server over te nemen omdat exchange proces met alle systeem rechten draait (typisch Windows). Doorstoten in het domein is dan betrekkelijk eenvoudig. Het maakt ook niet uit waar de gebruikers zitten, als ze maar toegang hebben tot hun mail account. Volgens berichten van Microsoft is een mailtje sturen (mail of death) naar de server al voldoende. Nu nog hopen dat ms update werkt.
Door Tintin and Milou:
Psst:
https://www.security.nl/posting/625940/Mailservers+opnieuw+kwetsbaar+door+ernstig+Exim-lek
https://www.security.nl/posting/618563/Mailservers+kwetsbaar+door+beveiligingslek+in+Exim
Voor een totaal overzicht: https://www.security.nl/search?origin=frontpage&keywords=exim
Vorig jaar was exim namelijk een gaten kaas met exact het zelfde issue. Gewoon mail of death sturen en je hebt volledig controle over de server.. Ik heb je toen alleen geen commentaar hierop zien geven over "typisch" Linux.


Maar eventueel iets meer actueel:
https://www.security.nl/posting/645749/OpenSMTPD+remote+code+execution

Niks typisch Linux aan maar wel OSS. Linux is alleen maar een kernel. Beetje distro gebruikt postfix als MTA met eigen postfix account zonder login shell. Niks root.
Exchange en Windows zijn wel van de zelfde lage kwaliteit leverancier.
27-02-2020, 21:32 door souplost
Door Erik van Straten:
Door souplost: Een special geprepareerd mailtje is voldoende om de server over te nemen
Je post in de verkeerde thread: dit geldt voor 2 recente lekken in OpenSMTPD (zie ook de bijdrage van Tintin and Milou hierboven).

Microsoft stated this bug was due to a memory corruption vulnerability and could be exploited by a specially crafted email sent to a vulnerable Exchange server.
27-02-2020, 22:09 door Erik van Straten - Bijgewerkt: 27-02-2020, 22:22
Door souplost: Microsoft stated this bug was due to a memory corruption vulnerability and could be exploited by a specially crafted email sent to a vulnerable Exchange server.
Waarom laat je het eerste woord weg? Kun jij ook toegeven dat je iets niet goed (gelezen) hebt? Er staat:
Initially, Microsoft stated this bug was due to a memory corruption vulnerability and could be exploited by a specially crafted email sent to a vulnerable Exchange server.
direct gevolgd door:
They have since revised their write-up to (correctly) indicate that the vulnerability results from Exchange Server failing to properly create unique cryptographic keys at the time of installation.
[...]
27-02-2020, 22:13 door Erik van Straten
Door Joep Lunaar: Inderdaad en ook wordt nog SHA1 als hash gebruikt.
Sterker, in de ZDI pagina, in Figure 1 zie ik ook nog 3DES staan (ook bekend als TDEA, afgeraden door NIST sinds 11 juli 2017 in https://csrc.nist.gov/news/2017/update-to-current-use-and-deprecation-of-tdea, officieel bekrachtigd in https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar2.pdf van maart 2019).

ECHTER: ik heb geen idee of voor het ZDI artikel de laatste versie van Exchange gebruikt is, of wellicht een oudere die een paar keer gemigreerd is en daardoor nog SHA1 en 3DES gebruikte/gebruikt (verderop toon ik verwijzingen waaruit blijkt da MS allang nieuwere algoritmes ondersteunt). Maar kennelijk gebruikten/gebruiken Exchange installaties wel allemaal dezelfde cryptografische sleutel (en dat betekent een veel groter risico).

Uit https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-server-2019-now-available/ba-p/608610 van 10-22-2018:
We also built Exchange Server 2019 to only use TLS 1.2 out of the box, and to remove legacy ciphers and hashing algorithms.
Als het waar zou zijn dat legacy protocollen zouden zijn verwijderd, zou je ook nergens meer support voor SHA1 en 3DES verwachten. Uit https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0688 blijkt dat ook "Microsoft Exchange Server 2019 Cumulative Update 4" kwetsbaar was (of, ongepatcht, is). Dat zou kunnen betekenen dat er "alleen" sprake is van identieke sleutels terwijl modernere algoritmes worden gebruikt. Maar hoe dat precies zit weet ik niet.

Uit https://codewithshadman.com/machine-key-generator/ maak ik op dat Microsoft allang nieuwere algoritmes ondersteunt, bevestigd (maar wat minder leesbaar en oud, uit 2008) in https://docs.microsoft.com/en-us/aspnet/web-forms/overview/older-versions-security/introduction/forms-authentication-configuration-and-advanced-topics-cs#setting-the-validation-and-decryption-keys.

Wat in die pagina's opvalt is dat de cryptografische waardes normaal gesproken automatisch worden gegenereerd, maar dat dit niet kan bij een serverfarm: dan moet elke server exact dezelfde instellingen hebben. Zou Microsoft zo dom zijn geweest om Exchange servers allemaal dezelfde keys te geven zodat je geen problemen hebt als je een server aan een farm toevoegt?

Ook vind ik het advies in laatstgenoemde Microsoft pagina merkwaardig (bizar eigenlijk):
Note
The decryptionKey and validationKey values were taken from Steve Gibson's Perfect Passwords web page [1], which generates 64 random hexadecimal characters on each page visit. To lessen the likelihood of these keys making their way into your production applications, you are encouraged to replace the above keys with randomly generated ones from the Perfect Passwords page.
[1] https://www.grc.com/passwords.htm - Echter, hoe betrouwbaar Steve Gibson en zijn site ook (geweest?) mogen zijn, ik zou nooit een third party geheime sleutels laten genereren, ook de eerder genoemde https://codewithshadman.com/machine-key-generator/ niet. Zelfs niet in 2008.

Weet iemand:
1) Of ook de laatste versies van OWA / EWS na clean install "SHA1" en/of "3DES" nog voorkomen in web.config?
2) En of dit na de patch van februari veranderd is?
3) Of je, tijdens patchen, ervoor gewaarschuwd wordt dat je op servers in een farm identieke keys en algoritmes moet configureren in web.config? En zo ja, hoe je dergelijke keys veilig genereert?
27-02-2020, 22:51 door Anoniem
*** bedrijf is dat microsoft toch, kan niet eens https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688 bekijken zonder aan te melden.
27-02-2020, 23:07 door [Account Verwijderd]
Door karma4:Het draaien met alle rechten (root) is typisch Linux.
Het ontwerp van Linux (en alle Unices) is dat het draaien als root juist NIET typisch Linux is. Dat men een systeem als root draait is een (onverstandige) keuze. Dus het geeft niks met Linux te maken, maar met degene die het systeem op die manier configureert. Alleen al door deze ongelooflijk domme bewering bevestigt al dat je nooit Linux hebt geïnstalleerd op welke machine dan ook. Wanneer ga je je eens verdiepen in de materie? En kom dan maar eens terug, en pas dán mag je meepraten. Je hebt werkelijk geen flauwe notie waar je het over hebt, anders dan dat je structureel trolt. En dan verkapt op een sneaky manier, zodat je je handen in onschuld kan blijven wassen. Maar ondertussen structureel FUD verspreiden. Wellicht met een doel (clickbait).

Door karma4:
Mijn terugkerende verhaal is gebrek aan scheiding met service accounts high privileged accounts waar
- de administrator van de dag wat aanrommelt omdat het dan werkt.
- de manager het allemaal best vindt als het maar werkt en niet te veel kost.
Met SAF en de mainframe achtergrond kun je met een compleet andere insteek komen omdat die ontworpen waren met veiligheid van de processen en resources. Nee ze zijn intussen achterhaald door de goedkopere alternatieven.
https://www.ibm.com/support/knowledgecenter/SSAW57_liberty/com.ibm.websphere.wlp.nd.multiplatform.doc/ae/twlp_config_security_saf.html De uitzondering als er geen user bekend is WSGUEST.
Wat is nu je punt? Keuzes van gebruikers die het basisontwerp omzeilen. Ligt niet aan het systeem.

Waarom blijf je jezelf toch zo structureel diskwalificeren op dit gebied? Je slaat keer-op-keer een modderfiguur (ook al denk je zelf van niet!)
28-02-2020, 06:41 door Erik van Straten - Bijgewerkt: 28-02-2020, 06:52
Met het risico dat ook ik een bewuste troll voed:
Door Unix4: [...] anders dan dat je structureel trolt. [...] Wellicht met een doel (clickbait).
En wie trapt in die clickbait en feeds the trolls? Zolang trollen aandacht krijgen, gaan ze niet weg.

Door Unix4: Je slaat keer-op-keer een modderfiguur (ook al denk je zelf van niet!)
Net als alle troll-feeders (zoals jij, vooral met zo'n nickname) die meewerken aan karma4's fake news amplifying attack. Waardoor veel threads op deze site vervuilen met eindeloos herhaalde standpunten waar niemand (behalve trollen en troll-feeders: onbewuste of bewuste trollen) op zit te wachten. Met als gevolg dat on topic bijdragen ondersneeuwen, daardoor niet meer gelezen worden, en potentieel leerzame discussies een zeldzaamheid zijn.
28-02-2020, 10:33 door Anoniem
Door Anoniem: Exchange, dat is toch de interne mailoplossing van Microsoft die je nooit en te nimmer aan het internet mag koppelen?
Vooral niet doen dus mensen ;)

Ik gebruik zelf zowel prive als bedrijfsmatig Microsoft producten en Linux installatie's naar eigen tevredenheid.
Maar dit soort posts blijvben me echt verbazen, hoe zielig je wel niet moet zijn om bij elke kans dit soort domme fanboy gedrag uitspraken zonder enige onderbouwing of gehinderd door enige kennis of geschiedenis kennis van andere producten hier maar weer neer te blijven plempen.

Lijkt een beetje om niet intelligente pubers die oorlog met de politie willen want dat is de vijand qua domheid gehalte.

Ikzelf zou op zoek gaan naar familie, vrienden en hobbies in plaats van het plaatsen van dat soort uitspraken op internet foums als levensdoel te hebben.
28-02-2020, 13:20 door [Account Verwijderd]
Door Erik van Straten:
Door Unix4: Je slaat keer-op-keer een modderfiguur (ook al denk je zelf van niet!)
Net als alle troll-feeders (zoals jij, vooral met zo'n nickname) die meewerken aan karma4's fake news amplifying attack. Waardoor veel threads op deze site vervuilen met eindeloos herhaalde standpunten waar niemand (behalve trollen en troll-feeders: onbewuste of bewuste trollen) op zit te wachten. Met als gevolg dat on topic bijdragen ondersneeuwen, daardoor niet meer gelezen worden, en potentieel leerzame discussies een zeldzaamheid zijn.
Zucht.... wat een vooringenomenheid weer. Ik trol niet (lees al mijn posts maar), maar ben wél een aanhanger van de open source gedachte. En dat verdedig dus ook logischerwijs. Mag het? Maar in tegenstelling tot Karma4, verspreid ik niet (structureel) FUD en onzin.

Maar ik begrijp dat ik nu gemakshalve even weggezet wordt als "trol", alleen maar vanwege mijn naam? Daarmee heb jij jezelf ook behoorlijk gediskwalificeerd, Erik van Straten. Dus jij beoordeelt op kenmerken, niet op inhoud? Goed om te weten. Jammer dat je in mijn achting bent gedaald, want ik vond je postings best zinnig.
28-02-2020, 13:22 door [Account Verwijderd] - Bijgewerkt: 28-02-2020, 13:23
Door Unix4:
Door Erik van Straten:
Door Unix4: Je slaat keer-op-keer een modderfiguur (ook al denk je zelf van niet!)
Net als alle troll-feeders (zoals jij, vooral met zo'n nickname) die meewerken aan karma4's fake news amplifying attack. Waardoor veel threads op deze site vervuilen met eindeloos herhaalde standpunten waar niemand (behalve trollen en troll-feeders: onbewuste of bewuste trollen) op zit te wachten. Met als gevolg dat on topic bijdragen ondersneeuwen, daardoor niet meer gelezen worden, en potentieel leerzame discussies een zeldzaamheid zijn.
Zucht.... wat een vooringenomenheid weer. Ik trol niet (lees al mijn posts maar), en ben ook geen "troll-feeder". Maar ben wél een aanhanger van de open source gedachte. En dat verdedig dus ook logischerwijs. Mag het? Maar in tegenstelling tot Karma4, verspreid ik niet (structureel) FUD en onzin.

Maar ik begrijp dat ik nu gemakshalve even beoordeeld wordt op/vanwege mijn naam? Daarmee heb jij jezelf ook behoorlijk gediskwalificeerd, Erik van Straten. Dus jij beoordeelt op kenmerken, niet op inhoud? Goed om te weten. Jammer dat je in mijn achting bent gedaald, want ik vond je postings best zinnig.
28-02-2020, 14:11 door Anoniem
Ik kan nergens vinden of Exchange 2016 CU13 vulnerable is.
28-02-2020, 15:01 door Anoniem

Hoewel de Exchange kwetsbaarheid niet uit te buiten valt met een mailtje, is deze wel degelijk ernstig. En een enorme blunder van Microsoft omdat:
1) haar programmeurs een hard-coded cryptografisce sleutel in de sources opnemen en
2) dat Microsoft's eigen testers dit niet ontdekken (maar een externe partij wel).


Als je een exchange installatie hebt, dan kan je wel begrijpen dat ms dit soort blunders maakt. Net zag ik een current en een current2 map op dezelfde plek. Dat is toch pruts programmeer werk.
Ze zijn zo slecht en vertrouwen hun eigen werk niet, dat ze maar uit wanhoop vorige versies van bijvoorbeeld owa in mappen laten staan. etc etc etc.
28-02-2020, 15:05 door Anoniem
Door Anoniem: Ik kan nergens vinden of Exchange 2016 CU13 vulnerable is.

Ja omdat ze ervan uitgaan dat je al die CU maar blijft installeren, en als je uptime en ha voor een paar users wil hebben, dat je 4 grote vm's installeert (er is niets bij hen dat op 1GB ram en 8GB os disk draait)

Misschien moeten we MS eens een CO2 boete geven, die gasten houden totaal geen rekening met het milieu. Ik denk dat ze voor energieverspilling veroorzaken dan een klein land.
28-02-2020, 15:58 door Anoniem
Door karma4:
Het draaien met alle rechten (root) is typisch Linux.
.

Huuuhhhh, heb je uberhaupt ooit een linux distributie geinstalleerd? Alles heeft zowat zijn eigen account, en dan nog niet eens te spreken als je selinux gaat gebruiken.

Weet je wat het meeste altijd opvalt tussen de proprietary vs opensource discussies.
De mensen van de opensource kennen de proprietary omgeving. De mensen van het proprietary kamp, kennen dat alleen.

Ik ben ook begonnen met dos/windows, maar als je wat intelligentie in je hoofd hebt staar je je daar niet blind op. Ik ben iig niet onder de indruk van wat microsoft weet te presteren. Met al die miljarden meer, hebben ze niet kunnen regelen dat apple siri, netflix, amazon, telefoons etc etc niet op windows draait.
28-02-2020, 16:44 door Erik van Straten
Door Anoniem: Ik kan nergens vinden of Exchange 2016 CU13 vulnerable is.
Reken maar dat die vulnerable is (aangezien alle versies tot nu toe dat zijn).

Maar Microsoft heeft geen update voor die versie omdat zij vindt dat je allang over had moeten zijn op CU14 of CU15 (zie https://docs.microsoft.com/en-us/Exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019#exchange-server-2016).
29-02-2020, 08:36 door Anoniem
De persoon die dit heeft geschreven, werkt toch niet echt in de praktrijk denk ik!
Kunnen ze niet gewoon meegeven over welk KB artikel van Microsoft het gaat, en welke exchange server versies het gaat, misschien allemaal ? en welke update er dan geïnstalleerd moet worden!
29-02-2020, 08:42 door Anoniem
Microsoft oplossing
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688
Check sectie "Security Updates"
01-03-2020, 10:29 door [Account Verwijderd]
[Verwijderd door moderator]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.