image

Groot aantal Exchange-servers mist kritieke beveiligingsupdate

dinsdag 17 maart 2020, 13:40 door Redactie, 18 reacties

Op 11 februari kwam Microsoft met een kritieke beveiligingsupdate voor Exchange, maar een maand later blijkt dat een groot aantal servers nog altijd ongepatcht is. En dat kan een serieus probleem voor organisaties zijn, aangezien servers via de kwetsbaarheid volledig zijn over te nemen.

De enige vereiste voor een aanvaller is dat hij toegang tot het e-mailaccount van een gebruiker op de server heeft. Vervolgens is het mogelijk om willekeurige code met systeemrechten uit te voeren. Zo kan een aanvaller volledige controle over de server krijgen en bijvoorbeeld het e-mailverkeer onderscheppen en manipuleren. Een week geleden werd beken dat aanvallers actief misbruik van de kwetsbaarheid maken.

Securitybedrijf Kenna Security besloot te onderzoeken hoe snel organisaties de Exchange-update uitrollen en de resultaten zijn niet bemoedigend, zegt onderzoeker Jonathan Cran. Hij bekeek de gegevens van honderden klanten en zag dat bij minder dan 15 procent de Exchange-update was geïnstalleerd. Daarnaast maakte Cran gebruik van een dataset van Outlook Web Access (OWA)-servers, verzameld via zoekmachine BinaryEdge.

Het ging in totaal om 220.000 publiek toegankelijke OWA-servers. Daarvan bleek 74 procent zeker kwetsbaar te zijn. Volgens Cran is een mogelijke verklaring hiervoor dat Exchange een belangrijke rol speelt binnen organisaties en daarom niet zomaar kan of mag worden gepatcht. "Laat alles vallen en patch deze kwetsbaarheid meteen. Op dit moment vormt dit lek een groter risico dan de meeste andere kwetsbaarheden in de bedrijfsomgeving", aldus de onderzoeker.

Reacties (18)
17-03-2020, 13:59 door Anoniem
Verrassend. Wij patchen altijd op het tweede weekend na patch-Tuesday. (was eerste weekend, maar geeft wel erg weinig tijd voor testen)
Maar later dan dat wil je niet omdat je weet dat binnen een paar weken na het bekend worden van een patch die ook actief aangevallen word.

Na een maand had ik echt betere cijfers verwacht. Aan de andere kant zijn IT afdelingen op dit moment wellicht overwerkt door voorbereidingen voor corona.
17-03-2020, 14:55 door Anoniem
"Volgens Cran is een mogelijke verklaring hiervoor dat Exchange een belangrijke rol speelt binnen organisaties en daarom niet zomaar kan of mag worden gepatcht."

jammer dat zo een server als zo centraal en zo rigide ervaren wordt. een design foutje van je netwerk omgeving dan denk ik.

kan MS hier niet een helpende hand in bieden dat het update van exchange servers niet zo delicate buisness is?
17-03-2020, 16:05 door souplost
Volgens Cran is een mogelijke verklaring hiervoor dat Exchange een belangrijke rol speelt binnen organisaties en daarom niet zomaar kan of mag worden gepatcht.
Wat een onzin. Als bedrijven hierdoor wachten hebben ze het nog niet helemaal begrepen.
Kritiek betekent onmiddellijk patchen. Je hebt niet voor niets voor een Microsoft product gekozen .
Gecontroleerd omvallen en een rollback doen is altijd beter dan herinstalleren en hopen dat je nog een backup zonder walmare kan restoren.
17-03-2020, 16:24 door Anoniem
Bedrijven waarvoor Exchange dermate kritiek is hebben over het algemeen niet 1 mailserver staan maar meerdere. En laat het dan juist goed mogelijk zijn om ze stuk voor stuk te updaten. Er is geen excuus om ze niet te updaten
17-03-2020, 16:53 door [Account Verwijderd]
Door souplost:
Volgens Cran is een mogelijke verklaring hiervoor dat Exchange een belangrijke rol speelt binnen organisaties en daarom niet zomaar kan of mag worden gepatcht.
Wat een onzin. Als bedrijven hierdoor wachten hebben ze het nog niet helemaal begrepen.
Kritiek betekent onmiddellijk patchen. Je hebt niet voor niets voor een Microsoft product gekozen .
Gecontroleerd omvallen en een rollback doen is altijd beter dan herinstalleren en hopen dat je nog een backup zonder walmare kan restoren.
Ach beste Souplost, we roepen gewoon dat het allemaal de schuld is van Linux en OSS. En dan komt Karma4 namens Security.nl weer even zijn flauwekul uitpoepen, wij gaan in de verdediging, en vervolgens hebben wij het gedaan en worden onze posts verwijderd. Standaard routine hier.... ;)
17-03-2020, 17:04 door Anoniem
De ongepatchte Microsoft Exchange servers zijn kwetsbaar, voor virussen en malware.

De vergelijking ligt voor de hand met het Covid-19 virus en kwetsbare mensen.
Een Chinese arts intensieve zorg uit Wuhan zei daarover in het NOS 20 uur journaal :
https://nos.nl/uitzending/48573-nos-journaal.html
Vanaf 24m25:
"Treatment is secondary, prevention and control is primary .."
"Failure to prepare, is preparedness to failure".

Er is nu een Microsoft patch voor deze kwetsbaarheid. Deze patch is vergelijkbaar met een vaccin. Het niet uitrollen van deze patch staat gelijk aan "preparedness to failure".
17-03-2020, 17:42 door Anoniem
Door Anoniem: "Volgens Cran is een mogelijke verklaring hiervoor dat Exchange een belangrijke rol speelt binnen organisaties en daarom niet zomaar kan of mag worden gepatcht."

jammer dat zo een server als zo centraal en zo rigide ervaren wordt. een design foutje van je netwerk omgeving dan denk ik.

kan MS hier niet een helpende hand in bieden dat het update van exchange servers niet zo delicate buisness is?

Ja, dat is inderdaad opmerkelijk: je zou juist denken dat als Exchange zo belangrijk is, dat de omgeving ook is ontworpen om snel een eenvoudig gepatched te kunnen worden... Dat kan ook heel goed, maar daar is dan kennelijk niet zoveel aandacht voor geweest bij het neerzetten...
17-03-2020, 18:55 door Anoniem
helemaal klaar met clusters, alles dubbel uitgevoerd, meerdere Exchange servers met DAG enz. Bij elke update plaag je toch je gebruikers, omdat er geen enkele software product bestaat, die met updates overweg kan. Het is echt puinhoop in ICT land....
17-03-2020, 20:30 door Anoniem
Door Anoniem: helemaal klaar met clusters, alles dubbel uitgevoerd, meerdere Exchange servers met DAG enz. Bij elke update plaag je toch je gebruikers, omdat er geen enkele software product bestaat, die met updates overweg kan. Het is echt puinhoop in ICT land....

veruim je scope zou ik zeggen want je stelling is iets kort door de bocht. er zijn omgevingen waarbij je vrij straffeloos automatisch de security updates nachtelijks door kunt voeren omdat er een goede QA ook achter zit en omdat die omgevingen van de grond af aan gebouwd zijn dit te kunnen.
17-03-2020, 20:33 door Anoniem
Door Anoniem:
Door Anoniem: "Volgens Cran is een mogelijke verklaring hiervoor dat Exchange een belangrijke rol speelt binnen organisaties en daarom niet zomaar kan of mag worden gepatcht."

jammer dat zo een server als zo centraal en zo rigide ervaren wordt. een design foutje van je netwerk omgeving dan denk ik.

kan MS hier niet een helpende hand in bieden dat het update van exchange servers niet zo delicate buisness is?

Ja, dat is inderdaad opmerkelijk: je zou juist denken dat als Exchange zo belangrijk is, dat de omgeving ook is ontworpen om snel een eenvoudig gepatched te kunnen worden... Dat kan ook heel goed, maar daar is dan kennelijk niet zoveel aandacht voor geweest bij het neerzetten...

ja elke keer weer. ik heb nu inmiddels wel al zoveel puinhoperige MS omgevingen gezien dat ik denk dat de gemiddelde ITer maar klikkerdieklik door een wizard gaat. je kunt zeggen wat je wilt, als je install wizards hebt, dan trek je ook een specifieke doelgroep.
17-03-2020, 21:20 door Anoniem
Door souplost:
Volgens Cran is een mogelijke verklaring hiervoor dat Exchange een belangrijke rol speelt binnen organisaties en daarom niet zomaar kan of mag worden gepatcht.
Wat een onzin. Als bedrijven hierdoor wachten hebben ze het nog niet helemaal begrepen.
Kritiek betekent onmiddellijk patchen. Je hebt niet voor niets voor een Microsoft product gekozen .
Gecontroleerd omvallen en een rollback doen is altijd beter dan herinstalleren en hopen dat je nog een backup zonder walmare kan restoren.
Is dit niet met alle software als er updates beschikbaar zijn?
Ik kan mij nog niets herinnereren met Exim vorig jaar. Meerdere keren zelfs.

Maar dit staat helemaal los van Microsoft, maar is OS onafhankelijk.
Zijn wel weer de zelfde die er altijd zo over beginnen.
17-03-2020, 21:35 door Anoniem
Volgens Cran is een mogelijke verklaring hiervoor dat Exchange een belangrijke rol speelt binnen organisaties en daarom niet zomaar kan of mag worden gepatcht.

Vervang dat maar door buggie. Elke keer als je iets installeerd is het maar hopen dat het blijft draaien.
17-03-2020, 21:39 door Anoniem
Door Anoniem: helemaal klaar met clusters, alles dubbel uitgevoerd, meerdere Exchange servers met DAG enz. Bij elke update plaag je toch je gebruikers, omdat er geen enkele software product bestaat, die met updates overweg kan. Het is echt puinhoop in ICT land....

Ik heb ook die DAG draaien en verbaas me soms waarom services niet gewoon TIJDIG starten. Volgens mij vertrouwen het ze daar bij microsoft ook voor geen meter, daarom traceloggen ze maar alles.
Mijn centos7 rommel update ik al jaren gewoon, bijna geen problemen, wou dat ik daarop veel eerder had vertrouwd. Alhoewel ik de indruk heb dat Redhat laatste jaar wel wat steekjes laat vallen.
18-03-2020, 00:13 door souplost - Bijgewerkt: 18-03-2020, 00:13
Door Anoniem:
Door souplost:
Volgens Cran is een mogelijke verklaring hiervoor dat Exchange een belangrijke rol speelt binnen organisaties en daarom niet zomaar kan of mag worden gepatcht.
Wat een onzin. Als bedrijven hierdoor wachten hebben ze het nog niet helemaal begrepen.
Kritiek betekent onmiddellijk patchen. Je hebt niet voor niets voor een Microsoft product gekozen .
Gecontroleerd omvallen en een rollback doen is altijd beter dan herinstalleren en hopen dat je nog een backup zonder walmare kan restoren.
Is dit niet met alle software als er updates beschikbaar zijn?
Ik kan mij nog niets herinnereren met Exim vorig jaar. Meerdere keren zelfs.

Maar dit staat helemaal los van Microsoft, maar is OS onafhankelijk.
Zijn wel weer de zelfde die er altijd zo over beginnen.
Natuurlijk geldt dat voor alle software. Is lezen echt zo moeilijk!
18-03-2020, 10:27 door Anoniem
Door souplost:
Door Anoniem:
Door souplost:
Volgens Cran is een mogelijke verklaring hiervoor dat Exchange een belangrijke rol speelt binnen organisaties en daarom niet zomaar kan of mag worden gepatcht.
Wat een onzin. Als bedrijven hierdoor wachten hebben ze het nog niet helemaal begrepen.
Kritiek betekent onmiddellijk patchen. Je hebt niet voor niets voor een Microsoft product gekozen .
Gecontroleerd omvallen en een rollback doen is altijd beter dan herinstalleren en hopen dat je nog een backup zonder walmare kan restoren.
Is dit niet met alle software als er updates beschikbaar zijn?
Ik kan mij nog niets herinnereren met Exim vorig jaar. Meerdere keren zelfs.

Maar dit staat helemaal los van Microsoft, maar is OS onafhankelijk.
Zijn wel weer de zelfde die er altijd zo over beginnen.
Natuurlijk geldt dat voor alle software. Is lezen echt zo moeilijk!
Nee, natuurlijk niet.
Maar je maakt specifiek deze opmerking Je hebt niet voor niets voor een Microsoft product gekozen. en vandaag mijn opmerking. Jij zet de toon met je opmerking.

Het staat namelijk los van Microsoft producten, want je zal maar bijvoorbeeld voor Exim gekozen hebben.....
18-03-2020, 11:14 door Anoniem
Door Anoniem: Bedrijven waarvoor Exchange dermate kritiek is hebben over het algemeen niet 1 mailserver staan maar meerdere. En laat het dan juist goed mogelijk zijn om ze stuk voor stuk te updaten. Er is geen excuus om ze niet te updaten
Precies. De enige reden dat ik het 2 weken na patch Tuesday deed, was omdat de andere applicaties dan in het maintenance weekend gingen.
Maar voor Exchange was er geen reden om tot een maintenance window te wachten. Dat hadden we ook gewoon door de week of zelfs gedurende kantoortijd kunnen doen, zonder dat de gebruikers er iets van zouden merken.

Exchange was nou juist de positieve uitzondering waarbij dat prima mogelijk was.
18-03-2020, 13:54 door souplost
Door Anoniem:
Door souplost:
Door Anoniem:
Door souplost:
Volgens Cran is een mogelijke verklaring hiervoor dat Exchange een belangrijke rol speelt binnen organisaties en daarom niet zomaar kan of mag worden gepatcht.
Wat een onzin. Als bedrijven hierdoor wachten hebben ze het nog niet helemaal begrepen.
Kritiek betekent onmiddellijk patchen. Je hebt niet voor niets voor een Microsoft product gekozen .
Gecontroleerd omvallen en een rollback doen is altijd beter dan herinstalleren en hopen dat je nog een backup zonder walmare kan restoren.
Is dit niet met alle software als er updates beschikbaar zijn?
Ik kan mij nog niets herinnereren met Exim vorig jaar. Meerdere keren zelfs.

Maar dit staat helemaal los van Microsoft, maar is OS onafhankelijk.
Zijn wel weer de zelfde die er altijd zo over beginnen.
Natuurlijk geldt dat voor alle software. Is lezen echt zo moeilijk!
Nee, natuurlijk niet.
Maar je maakt specifiek deze opmerking Je hebt niet voor niets voor een Microsoft product gekozen. en vandaag mijn opmerking. Jij zet de toon met je opmerking.

Het staat namelijk los van Microsoft producten, want je zal maar bijvoorbeeld voor Exim gekozen hebben.....
Je hebt de boodschap niet begrepen. Als je vertrouwen in het (in dit specifieke geval microsoft) product hebt ga je in dit kritieke geval onmiddellijk patchen. Geldt ook voor andere software. Als je geen vertrouwen in het product hebt kan je het beter niet installeren.
18-03-2020, 14:56 door Anoniem
Door Anoniem:
Door souplost:
Volgens Cran is een mogelijke verklaring hiervoor dat Exchange een belangrijke rol speelt binnen organisaties en daarom niet zomaar kan of mag worden gepatcht.
Wat een onzin. Als bedrijven hierdoor wachten hebben ze het nog niet helemaal begrepen.
Kritiek betekent onmiddellijk patchen. Je hebt niet voor niets voor een Microsoft product gekozen .
Gecontroleerd omvallen en een rollback doen is altijd beter dan herinstalleren en hopen dat je nog een backup zonder walmare kan restoren.
Is dit niet met alle software als er updates beschikbaar zijn?
Ik kan mij nog niets herinnereren met Exim vorig jaar. Meerdere keren zelfs.

Maar dit staat helemaal los van Microsoft, maar is OS onafhankelijk.
Zijn wel weer de zelfde die er altijd zo over beginnen.

klopt maar de patch was heel vlug door te voeren
Door Anoniem:
Door Anoniem: helemaal klaar met clusters, alles dubbel uitgevoerd, meerdere Exchange servers met DAG enz. Bij elke update plaag je toch je gebruikers, omdat er geen enkele software product bestaat, die met updates overweg kan. Het is echt puinhoop in ICT land....

Ik heb ook die DAG draaien en verbaas me soms waarom services niet gewoon TIJDIG starten. Volgens mij vertrouwen het ze daar bij microsoft ook voor geen meter, daarom traceloggen ze maar alles.
Mijn centos7 rommel update ik al jaren gewoon, bijna geen problemen, wou dat ik daarop veel eerder had vertrouwd. Alhoewel ik de indruk heb dat Redhat laatste jaar wel wat steekjes laat vallen.

kun je een voorbeeld geven; ik draai hier een middel grote (desktops) tot grote (servers) omgeving met CentOS 7 en ik kan me niet herinneren dat ik in de laatste drie jaar een update binnen kreeg die een issue gaf? elke nacht via yum-cron wordt er geupdate.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.