Exchange, dat is toch de interne mailoplossing van Microsoft die je nooit en te nimmer aan het internet mag koppelen?
Vooral niet doen dus mensen ;)

Android en IOS zijn ook lek, moet je ook niet aan publieke netwerken hangen ….
Lees even beter, de discussie ZDI microsoft gaat er over dat vanuit het externe netwerk er nog wat voor zit.
Vanuit het interne netwerk zou de aanval moeten komen. Je laat willekeurige devices op je kritieke eigen netwerk delen toe?
Dan heb je nog wel een groter probleem dat begint bij het compleet missen van informatieveiligheid.

Gebruik gewoon overal root - domain admin met open internet en onbetrouwbare apparaten, wat zou de kans op een ernstige hack zijn? Dit is wat ik telkens weer teruglees als de grootste gemaakte fout..

Of gewoon de update uitvoeren!

How low can you go... een web applicatie die draait als SYSTEM, dan moet je toch wel 20 jaar onder een steen geleefd hebben!

Grappig dat je reageert. Omdat het Exchange is (een Microsoft-product) waar het mis gaat, dan ligt het aan de instellingen die de beheerder maakt (standaard als administrator). Zou dit om een FOSS programma gaan, dan ligt het aan het ontwerp.

Niet erg consequent, Karma4.

Dit is een zeer ernstig lek. Een special geprepareerd mailtje is voldoende om de server over te nemen omdat exchange proces met alle systeem rechten draait (typisch Windows). Doorstoten in het domein is dan betrekkelijk eenvoudig. Het maakt ook niet uit waar de gebruikers zitten, als ze maar toegang hebben tot hun mail account. Volgens berichten van Microsoft is een mailtje sturen (mail of death) naar de server al voldoende. Nu nog hopen dat ms update werkt.

Je snapt echt niet wat de achtergrond van informatieveiligheid is. Ik heb niets met wat voor leverancier dan ook.
Ik ben wel behoorlijk geschrokken en heb er last van met dat evangelisme rond Linux dat een OS alles van veiligheid zou oplossen. Nog ergerlijker dat anderen alle problemen wel gratis en voor niets zouden doen. De groot commercielen varen daar wel bij met hun verkoopverhalen. (zie oa: Citrix en pulse). Het draaien met alle rechten (root) is typisch Linux.

Mijn terugkerende verhaal is gebrek aan scheiding met service accounts high privileged accounts waar
- de administrator van de dag wat aanrommelt omdat het dan werkt.
- de manager het allemaal best vindt als het maar werkt en niet te veel kost.
Met SAF en de mainframe achtergrond kun je met een compleet andere insteek komen omdat die ontworpen waren met veiligheid van de processen en resources. Nee ze zijn intussen achterhaald door de goedkopere alternatieven.
https://www.ibm.com/support/knowledgecenter/SSAW57_liberty/com.ibm.websphere.wlp.nd.multiplatform.doc/ae/twlp_config_security_saf.html De uitzondering als er geen user bekend is WSGUEST.

Het is niet het webserver component dat het issue heeft.

Psst:
https://www.security.nl/posting/625940/Mailservers+opnieuw+kwetsbaar+door+ernstig+Exim-lek
https://www.security.nl/posting/618563/Mailservers+kwetsbaar+door+beveiligingslek+in+Exim
Voor een totaal overzicht: https://www.security.nl/search?origin=frontpage&keywords=exim
Vorig jaar was exim namelijk een gaten kaas met exact het zelfde issue. Gewoon mail of death sturen en je hebt volledig controle over de server.. Ik heb je toen alleen geen commentaar hierop zien geven over "typisch" Linux.

Maar eventueel iets meer actueel:
https://www.security.nl/posting/645749/OpenSMTPD+remote+code+execution

Je post in de verkeerde thread: dit geldt voor 2 recente lekken in OpenSMTPD (zie ook de bijdrage van Tintin and Milou hierboven).

Het lijkt mij beter voor iedereen als jij helpt om open source veiliger te maken in plaats van onzin uit te kramen over producten waar je niets van afweet.

Hoewel de Exchange kwetsbaarheid niet uit te buiten valt met een mailtje, is deze wel degelijk ernstig. En een enorme blunder van Microsoft omdat:
1) haar programmeurs een hard-coded cryptografisce sleutel in de sources opnemen en
2) dat Microsoft's eigen testers dit niet ontdekken (maar een externe partij wel).

Om het lek uit te kunnen buiten heb je de credentials van een OWA gebruiker nodig, maar daar valt in veel gevallen met wat social engineering (en/of bijv. een Android trojan, zie https://security.nl/posting/645869) wel aan te komen. Bovendien hergebruiken veel mensen hun wachtwoorden en liggen credential-stuffing attacks (waarbij eerder gelekte gegevens, vaak e-mail-adres + password) worden geprobeerd. Vooral voor middelgrote organisaties (die een eigen exchange server draaien en te laat of nooit patchen, of van too low budget hosted exchange gebruikmaken), zou dit wel eens een flink risico kunnen betekenen.

Zie ook https://www.security.nl/posting/645820/Exchange+vuln+RCE+as+SYSTEM+-+CVE-2020-0688 of lees (voordat je maar wat roept) https://www.zerodayinitiative.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys - waar ook de redactie bovenaan deze pagina naar verwijst.

".. Het draaien met alle rechten (root) is typisch Linux.."
Linux kent juist een uitgebreide User and Grouppolicy
https://www.digitalocean.com/community/tutorials/how-to-add-delete-and-grant-sudo-privileges-to-users-on-a-debian-vps
"New users, by default, are unprivileged. This means that they will only be able to modify files in their own home directory, which is what we want."
Je kan als beheerder iedere gebruiker natuurlijk "root rechten" toekennen, maar dat is hetzelfde als alle deuren en ramen van je huis open laten staan. Het kan, maar alleen onverstandige beheerders doen dat.

De door jou genoemde SAF (system authorisation facility) van IBM is een onderdeel van z/OS, dat MVS en UNIX System Services (!) combineert.
https://en.wikipedia.org/wiki/Z/OS
Dus z/OS is familie van Linux. Grappig.

En alleen de prutsende Windows beheerders maken iedereen (local) admin. Wat is je punt precies? Misconfiguraties komen op alle systemen voor, niet alleen maar bij Windows of Linux based systemen. Zie ook de nieuws berichten over de buckets of AWS :)

Inderdaad en ook wordt nog SHA1 als hash gebruikt. Zal wel niet direct een gevaar opleveren, maar mag zo langzamerhand wel worden uitgefaseerd. Toch wel iets wat men mag verwachten van een bedrijf dat een ongekende winstmarge (orde 85%) heeft op deze producten.

Zie overigens ook https://advisories.ncsc.nl/advisory?id=NCSC-2020-0116.

Juist, maar het niet alleen om de individuele beheerder. Ook is van belang wijze waarop systemen out-of-the-box zijn ingericht, wat de algemene inrichtingswijze is en daar gaat het eerst al mis. De defaults die Microsoft kiest zijn vaak ongelukkig (standaard gebruiker van een niet zakelijke PC: is administrator; verborgen extensies van bestandsnamen, enz enz enz enz enz enz)

With the help of YSoSerial.net, an attacker can execute arbitrary .NET code on the server in the context of the Exchange Control Panel web application, which runs as SYSTEM.


Niks typisch Linux aan maar wel OSS. Linux is alleen maar een kernel. Beetje distro gebruikt postfix als MTA met eigen postfix account zonder login shell. Niks root.
Exchange en Windows zijn wel van de zelfde lage kwaliteit leverancier.

Microsoft stated this bug was due to a memory corruption vulnerability and could be exploited by a specially crafted email sent to a vulnerable Exchange server.

Waarom laat je het eerste woord weg? Kun jij ook toegeven dat je iets niet goed (gelezen) hebt? Er staat:
direct gevolgd door:

Sterker, in de ZDI pagina, in Figure 1 zie ik ook nog 3DES staan (ook bekend als TDEA, afgeraden door NIST sinds 11 juli 2017 in https://csrc.nist.gov/news/2017/update-to-current-use-and-deprecation-of-tdea, officieel bekrachtigd in https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar2.pdf van maart 2019).

ECHTER: ik heb geen idee of voor het ZDI artikel de laatste versie van Exchange gebruikt is, of wellicht een oudere die een paar keer gemigreerd is en daardoor nog SHA1 en 3DES gebruikte/gebruikt (verderop toon ik verwijzingen waaruit blijkt da MS allang nieuwere algoritmes ondersteunt). Maar kennelijk gebruikten/gebruiken Exchange installaties wel allemaal dezelfde cryptografische sleutel (en dat betekent een veel groter risico).

Uit https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-server-2019-now-available/ba-p/608610 van 10-22-2018:
Als het waar zou zijn dat legacy protocollen zouden zijn verwijderd, zou je ook nergens meer support voor SHA1 en 3DES verwachten. Uit https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0688 blijkt dat ook "Microsoft Exchange Server 2019 Cumulative Update 4" kwetsbaar was (of, ongepatcht, is). Dat zou kunnen betekenen dat er "alleen" sprake is van identieke sleutels terwijl modernere algoritmes worden gebruikt. Maar hoe dat precies zit weet ik niet.

Uit https://codewithshadman.com/machine-key-generator/ maak ik op dat Microsoft allang nieuwere algoritmes ondersteunt, bevestigd (maar wat minder leesbaar en oud, uit 2008) in https://docs.microsoft.com/en-us/aspnet/web-forms/overview/older-versions-security/introduction/forms-authentication-configuration-and-advanced-topics-cs#setting-the-validation-and-decryption-keys.

Wat in die pagina's opvalt is dat de cryptografische waardes normaal gesproken automatisch worden gegenereerd, maar dat dit niet kan bij een serverfarm: dan moet elke server exact dezelfde instellingen hebben. Zou Microsoft zo dom zijn geweest om Exchange servers allemaal dezelfde keys te geven zodat je geen problemen hebt als je een server aan een farm toevoegt?

Ook vind ik het advies in laatstgenoemde Microsoft pagina merkwaardig (bizar eigenlijk):
[1] https://www.grc.com/passwords.htm - Echter, hoe betrouwbaar Steve Gibson en zijn site ook (geweest?) mogen zijn, ik zou nooit een third party geheime sleutels laten genereren, ook de eerder genoemde https://codewithshadman.com/machine-key-generator/ niet. Zelfs niet in 2008.

Weet iemand:
1) Of ook de laatste versies van OWA / EWS na clean install "SHA1" en/of "3DES" nog voorkomen in web.config?
2) En of dit na de patch van februari veranderd is?
3) Of je, tijdens patchen, ervoor gewaarschuwd wordt dat je op servers in een farm identieke keys en algoritmes moet configureren in web.config? En zo ja, hoe je dergelijke keys veilig genereert?

*** bedrijf is dat microsoft toch, kan niet eens https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688 bekijken zonder aan te melden.

Het ontwerp van Linux (en alle Unices) is dat het draaien als root juist NIET typisch Linux is. Dat men een systeem als root draait is een (onverstandige) keuze. Dus het geeft niks met Linux te maken, maar met degene die het systeem op die manier configureert. Alleen al door deze ongelooflijk domme bewering bevestigt al dat je nooit Linux hebt geïnstalleerd op welke machine dan ook. Wanneer ga je je eens verdiepen in de materie? En kom dan maar eens terug, en pas dán mag je meepraten. Je hebt werkelijk geen flauwe notie waar je het over hebt, anders dan dat je structureel trolt. En dan verkapt op een sneaky manier, zodat je je handen in onschuld kan blijven wassen. Maar ondertussen structureel FUD verspreiden. Wellicht met een doel (clickbait).

Wat is nu je punt? Keuzes van gebruikers die het basisontwerp omzeilen. Ligt niet aan het systeem.

Waarom blijf je jezelf toch zo structureel diskwalificeren op dit gebied? Je slaat keer-op-keer een modderfiguur (ook al denk je zelf van niet!)

Met het risico dat ook ik een bewuste troll voed:
En wie trapt in die clickbait en feeds the trolls? Zolang trollen aandacht krijgen, gaan ze niet weg.

Net als alle troll-feeders (zoals jij, vooral met zo'n nickname) die meewerken aan karma4's fake news amplifying attack. Waardoor veel threads op deze site vervuilen met eindeloos herhaalde standpunten waar niemand (behalve trollen en troll-feeders: onbewuste of bewuste trollen) op zit te wachten. Met als gevolg dat on topic bijdragen ondersneeuwen, daardoor niet meer gelezen worden, en potentieel leerzame discussies een zeldzaamheid zijn.

Ik gebruik zelf zowel prive als bedrijfsmatig Microsoft producten en Linux installatie's naar eigen tevredenheid.
Maar dit soort posts blijvben me echt verbazen, hoe zielig je wel niet moet zijn om bij elke kans dit soort domme fanboy gedrag uitspraken zonder enige onderbouwing of gehinderd door enige kennis of geschiedenis kennis van andere producten hier maar weer neer te blijven plempen.

Lijkt een beetje om niet intelligente pubers die oorlog met de politie willen want dat is de vijand qua domheid gehalte.

Ikzelf zou op zoek gaan naar familie, vrienden en hobbies in plaats van het plaatsen van dat soort uitspraken op internet foums als levensdoel te hebben.

Zucht.... wat een vooringenomenheid weer. Ik trol niet (lees al mijn posts maar), maar ben wél een aanhanger van de open source gedachte. En dat verdedig dus ook logischerwijs. Mag het? Maar in tegenstelling tot Karma4, verspreid ik niet (structureel) FUD en onzin.

Maar ik begrijp dat ik nu gemakshalve even weggezet wordt als "trol", alleen maar vanwege mijn naam? Daarmee heb jij jezelf ook behoorlijk gediskwalificeerd, Erik van Straten. Dus jij beoordeelt op kenmerken, niet op inhoud? Goed om te weten. Jammer dat je in mijn achting bent gedaald, want ik vond je postings best zinnig.

Ik kan nergens vinden of Exchange 2016 CU13 vulnerable is.

Als je een exchange installatie hebt, dan kan je wel begrijpen dat ms dit soort blunders maakt. Net zag ik een current en een current2 map op dezelfde plek. Dat is toch pruts programmeer werk.
Ze zijn zo slecht en vertrouwen hun eigen werk niet, dat ze maar uit wanhoop vorige versies van bijvoorbeeld owa in mappen laten staan. etc etc etc.

Ja omdat ze ervan uitgaan dat je al die CU maar blijft installeren, en als je uptime en ha voor een paar users wil hebben, dat je 4 grote vm's installeert (er is niets bij hen dat op 1GB ram en 8GB os disk draait)

Misschien moeten we MS eens een CO2 boete geven, die gasten houden totaal geen rekening met het milieu. Ik denk dat ze voor energieverspilling veroorzaken dan een klein land.

Huuuhhhh, heb je uberhaupt ooit een linux distributie geinstalleerd? Alles heeft zowat zijn eigen account, en dan nog niet eens te spreken als je selinux gaat gebruiken.

Weet je wat het meeste altijd opvalt tussen de proprietary vs opensource discussies.
De mensen van de opensource kennen de proprietary omgeving. De mensen van het proprietary kamp, kennen dat alleen.

Ik ben ook begonnen met dos/windows, maar als je wat intelligentie in je hoofd hebt staar je je daar niet blind op. Ik ben iig niet onder de indruk van wat microsoft weet te presteren. Met al die miljarden meer, hebben ze niet kunnen regelen dat apple siri, netflix, amazon, telefoons etc etc niet op windows draait.

Reken maar dat die vulnerable is (aangezien alle versies tot nu toe dat zijn).

Maar Microsoft heeft geen update voor die versie omdat zij vindt dat je allang over had moeten zijn op CU14 of CU15 (zie https://docs.microsoft.com/en-us/Exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019#exchange-server-2016).

De persoon die dit heeft geschreven, werkt toch niet echt in de praktrijk denk ik!
Kunnen ze niet gewoon meegeven over welk KB artikel van Microsoft het gaat, en welke exchange server versies het gaat, misschien allemaal ? en welke update er dan geïnstalleerd moet worden!

Microsoft oplossing
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688
Check sectie "Security Updates"