image

Microsoft: 82.000 Exchange-servers nog kwetsbaar voor aanvallen

zaterdag 13 maart 2021, 15:50 door Redactie, 16 reacties

82.000 Exchange-servers wereldwijd zijn nog altijd kwetsbaar voor aanvallen omdat systeembeheerders beschikbaar gemaakte beveiligingsupdates niet hebben geïnstalleerd, zo stelt Microsoft in een blogposting over de aanvallen tegen Exchange-servers die al weken gaande zijn. De updates verhelpen in totaal vier kwetsbaarheden waarmee aanvallers op afstand Exchange-servers kunnen overnemen en toegang tot de server kunnen behouden.

De beveiligingslekken worden inmiddels op grote schaal ingezet om organisaties mee aan te vallen. Oorspronkelijk werden de lekken gebruikt voor spionage, maar inmiddels zijn er ook criminelen die de kwetsbaarheden uitbuiten om Exchange-servers met ransomware te infecteren. Microsoft rolde op 2 maart beveiligingsupdates uit om de beveiligingslekken te verhelpen. Op 1 maart telde het techbedrijf bijna 400.000 Exchange-servers op internet.

Op 8, 10 en 11 maart maakte Microsoft vervolgens beveiligingsupdates beschikbaar voor versies van Exchange 2013, 2016 en 2019 die niet meer worden ondersteund. Volgens het techbedrijf waren er op 9 maart nog iets meer dan 100.000 kwetsbare Exchange-servers op internet te vinden. Dat is inmiddels gezakt naar 82.000. Met de nu beschikbaar gemaakte beveiligingsupdates wordt meer dan 95 procent van de Exchange-servers toegankelijk vanaf internet ondersteund.

In de blogposting haalt Microsoft ook uit naar de statelijke actoren die voor de aanvallen verantwoordelijk worden gehouden. "Dit is de tweede keer in de laatste vier maanden dat statelijke actoren zich bezighouden met cyberaanvallen die alle soorten bedrijven en organisaties kunnen raken", zo stelt het techbedrijf, dat hierbij ook doelt op de SolarWinds-aanval.

Reacties (16)
13-03-2021, 18:46 door Anoniem
ja, waren die updates maar altijd stabiel en zonder reboot of down time door te voeren in de praktijk, dan had je ze vol automatisch elke nacht binnen kunnen halen en updaten die handel.
13-03-2021, 21:37 door Anoniem
Door Anoniem: ja, waren die updates maar altijd stabiel en zonder reboot of down time door te voeren in de praktijk, dan had je ze vol automatisch elke nacht binnen kunnen halen en updaten die handel.

Updaten met downtime of gehackt worden. Lijkt me een eenvoudige keuze.
13-03-2021, 22:56 door walmare
statelijke actoren die voor de aanvallen verantwoordelijk worden gehouden
Het is Microsoft die ze heeft uitgenodigd. Gelegenheid maakt de dief
13-03-2021, 23:33 door Anoniem
Door walmare:
statelijke actoren die voor de aanvallen verantwoordelijk worden gehouden
Het is Microsoft die ze heeft uitgenodigd. Gelegenheid maakt de dief
Zeker niet. Het is een veiligheidsfout in hun software die door iemand anders is gevonden.

Daarbij doelen ze (denk ik) op het feit dat ze vaker door (of vanuit) specifieke (proxy) landen aangevallen worden. Ik zie niet in waarom een techbedrijf niet mag zeuren over de criminelen die ze aanvallen, vooral niet als het grote mobsters zijn zoals statelijke actoren van een overheid of PMC (of andere privaat instellingen)

Trouwens, waarschijnlijk is het mijn technische onkunde of tekort aan creatieve verbeelding, maar waarom zou een sophisticated hacker geen aanval plegen vanuit een andere gehackte machine die in china staat, zodat het lijkt op een chinese statelijke actor? Het lijkt wel alsof de term "front-gun-server" compleet van de aarde is verdwenen. Je zou zo kunnen "stoken" tussen landen, of er simpelweg voor zorgen dat America denkt "Aha! we hebben de Chinezen er weer op betrapt!" terwijl het Belgen zijn. (voorbeeld, geen assumptie).

Nogmaals, waarschijnlijk is het mijn technische onkunde of tekort aan creatieve verbeelding.
14-03-2021, 00:47 door Anoniem
Door Anoniem: ja, waren die updates maar altijd stabiel en zonder reboot of down time door te voeren in de praktijk, dan had je ze vol automatisch elke nacht binnen kunnen halen en updaten die handel.

Dank, nu hoef ik het niet te schrijven!
14-03-2021, 10:35 door Anoniem
Door Anoniem:
Door Anoniem: ja, waren die updates maar altijd stabiel en zonder reboot of down time door te voeren in de praktijk, dan had je ze vol automatisch elke nacht binnen kunnen halen en updaten die handel.

Dank, nu hoef ik het niet te schrijven!

Ja en gratis ook. en dat je bij elke update een aai over je bol krijgt en een koekje.

Nee, als je een grote jongen wilt zijn en een organisatie van Email voorziet,
dan doe je dat veilig/snel/goedkoop, maar je mag er daar maar 2 van kiezen.
Management kiest dan voor snel en goedkoop, omdat dat goed meetbaar is. Kwaliteit/veiligheid verliest het dan.

Niet klagen over dat Microsoft dit en Microsoft dat, Gebruik je hun software, dan betaal je, en patch je.
Wil je niet betalen en de luie/bange sysop uitgangen, of de manager die bang is voor downtime/strakke afspraken met afnemers, dan gaat het lang goed, en dan fout.

Het is wat dat betreft net als vreemdgaan, dat is leuk en fijn en gaat een tijdje goed, en ineens zit je alleen op een flatje je af te vragen wat er de afgelopen 2 weken gebeurd is.
14-03-2021, 14:03 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: ja, waren die updates maar altijd stabiel en zonder reboot of down time door te voeren in de praktijk, dan had je ze vol automatisch elke nacht binnen kunnen halen en updaten die handel.

Dank, nu hoef ik het niet te schrijven!

Ja en gratis ook. en dat je bij elke update een aai over je bol krijgt en een koekje.

Nee, als je een grote jongen wilt zijn en een organisatie van Email voorziet,
dan doe je dat veilig/snel/goedkoop, maar je mag er daar maar 2 van kiezen.
Management kiest dan voor snel en goedkoop, omdat dat goed meetbaar is. Kwaliteit/veiligheid verliest het dan.

Niet klagen over dat Microsoft dit en Microsoft dat, Gebruik je hun software, dan betaal je, en patch je.
Wil je niet betalen en de luie/bange sysop uitgangen, of de manager die bang is voor downtime/strakke afspraken met afnemers, dan gaat het lang goed, en dan fout.

Het is wat dat betreft net als vreemdgaan, dat is leuk en fijn en gaat een tijdje goed, en ineens zit je alleen op een flatje je af te vragen wat er de afgelopen 2 weken gebeurd is.
Dat is jou blijkbaar overkomen. Heft ook voordelen hoor.
14-03-2021, 14:21 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: ja, waren die updates maar altijd stabiel en zonder reboot of down time door te voeren in de praktijk, dan had je ze vol automatisch elke nacht binnen kunnen halen en updaten die handel.

Dank, nu hoef ik het niet te schrijven!

Ja en gratis ook. en dat je bij elke update een aai over je bol krijgt en een koekje.

Nee, als je een grote jongen wilt zijn en een organisatie van Email voorziet,
dan doe je dat veilig/snel/goedkoop, maar je mag er daar maar 2 van kiezen.
Management kiest dan voor snel en goedkoop, omdat dat goed meetbaar is. Kwaliteit/veiligheid verliest het dan.

Niet klagen over dat Microsoft dit en Microsoft dat, Gebruik je hun software, dan betaal je, en patch je.
Wil je niet betalen en de luie/bange sysop uitgangen, of de manager die bang is voor downtime/strakke afspraken met afnemers, dan gaat het lang goed, en dan fout.

Het is wat dat betreft net als vreemdgaan, dat is leuk en fijn en gaat een tijdje goed, en ineens zit je alleen op een flatje je af te vragen wat er de afgelopen 2 weken gebeurd is.

het kan ook anders... zeker vwb mail...
14-03-2021, 21:25 door Anoniem
Door Anoniem:
Door Anoniem: ja, waren die updates maar altijd stabiel en zonder reboot of down time door te voeren in de praktijk, dan had je ze vol automatisch elke nacht binnen kunnen halen en updaten die handel.

Updaten met downtime of gehackt worden. Lijkt me een eenvoudige keuze.

Inderdaad eenvoudige keuze, zeker als je bekend bent met ZFS.

Een bekwame systeembeheerder draait ZFS, en als het fout gaat draait 'ie de boel terug naar voor de update.

Het probleem alleen is dat een bekwame systeembeheerder != MSCE.
15-03-2021, 10:06 door Bitje-scheef
Niet alleen Exchange in de volgende patchronde is Outlook ook weer aan de beurt tegen de nodige zero-day exploits.

Ik blijf het zeggen Exchange = gatenkaas Outlook = gatenkaas.
15-03-2021, 10:08 door Anoniem
Een echt bekwame systeembeheerder zou weten dat terugdraaien via ZFS geen optie is als je applicatie geintegreerd is in een active directory.

Wel leuk voor je hobby pc thuis natuurlijk.
15-03-2021, 10:57 door Bitje-scheef
Door Anoniem: Een echt bekwame systeembeheerder zou weten dat terugdraaien via ZFS geen optie is als je applicatie geintegreerd is in een active directory.

Wel leuk voor je hobby pc thuis natuurlijk.

Was daar niet een 24 uur limit ?
15-03-2021, 12:51 door Anoniem
Door Bitje-scheef: Niet alleen Exchange in de volgende patchronde is Outlook ook weer aan de beurt tegen de nodige zero-day exploits.

Ik blijf het zeggen Exchange = gatenkaas Outlook = gatenkaas.
Dat niet alleen. Het is ook nog eens zeer gebruikersonvriendelijk. Probeer de undo of mail source maar eens onder de rechtermuisknop te vinden of een recent verstuurd bericht opnieuw te bewerken. Je zoekt je een ongeluk.
15-03-2021, 14:54 door Anoniem
Door Anoniem: Een echt bekwame systeembeheerder zou weten dat terugdraaien via ZFS geen optie is als je applicatie geintegreerd is in een active directory.

Wel leuk voor je hobby pc thuis natuurlijk.

Ah, de systeembeheerder is niet bekend met snapshot functie van ZFS?
15-03-2021, 16:31 door Anoniem
Ah, de systeembeheerder is niet bekend met snapshot functie van ZFS?
Wel degelijk mee bekend. Maar een echt bekwame beheerder weet dat een snapshot van je server geen wijzigingen in je active directory terug draait.
Vandaar dus: leuk voor je hobby pc thuis.
15-03-2021, 19:18 door Anoniem
Door Anoniem: Een echt bekwame systeembeheerder zou weten dat terugdraaien via ZFS geen optie is als je applicatie geintegreerd is in een active directory.

is dat dan niet een hele vervelende situatie?

op SLES is het vrij normaal om voor de updates een btrfs shapshot te maken, updates door te voeren en indien nodig, kun je terug binnen enkele seconden, zonder reboots vaak ook nog. op RHEL zou je dat ook kunnen doen maar met stratis wellicht (of btrfs op rhel 7 nog). al met al een zeer krachtige tool in the box to have!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.