image

Microsoft kijkt naar fix voor automatisch geïnstalleerde overbodige Exchange-mitigaties

maandag 4 oktober 2021, 11:11 door Redactie, 10 reacties

Microsoft onderzoekt of automatisch geïnstalleerde mitigaties op Exchange-servers die overbodig zijn weer automatisch kunnen worden verwijderd, aangezien dat nu handmatig moet gebeuren wat een probleem voor systeembeheerders kan zijn. Tevens gaat het techbedrijf beheerders van Exchange-servers mogelijk waarschuwen wanneer er automatisch een mitigatie op hun server wordt geïnstalleerd.

Vorige week rolde Microsoft een nieuwe Cumulative Update voor Exchange uit die onder ander de Emergency Mitigation-service op servers installeert. Deze service zal automatisch en zonder tussenkomst van de eigenaar mitigaties op kwetsbare Exchange-servers installeren. Het gaat hier niet om beveiligingsupdates, maar mitigaties die misbruik van bekende en actief aangevallen kwetsbaarheden voorkomen. Dit moet Exchange-servers tegen aanvallen beschermen. De feature staat standaard ingeschakeld, maar is door beheerders uit te schakelen.

Microsoft stelt dat het naar aanleiding van de uitrol van de Exchange Emergency Mitigation-service "opbouwende kritiek" van klanten kreeg. Zo moeten automatisch geïnstalleerde mitigaties handmatig door Exchange-beheerders worden verwijderd na het installeren van de betreffende beveiligingsupdate. "Het installeren van een beveiligingsupdate die het gemitigeerde probleem verhelpt verwijdert niet de mitigatie van de server. In plaats daarvan moet een beheerder eerst de beveiligingsupdate installeren en dan de mitigaties verwijderen die niet langer van toepassing zijn", aldus Microsoft.

Het techbedrijf zegt dat het begrijpt dat het een belasting voor systeembeheerders is om iets handmatig te verwijderen dat automatisch op de server is geïnstalleerd. Daarnaast is het een probleem om uit te zoeken welke mitigaties kunnen worden verwijderd en welke niet. Daarom kijkt Microsoft nu of het overbodige Exchange-mitigaties die automatisch zijn geïnstalleerd ook automatisch weer kan verwijderen, bijvoorbeeld bij de installatie van de betreffende beveiligingsupdate.

Melding

Een ander kritiekpunt is dat systeembeheerders willen weten wanneer er zonder hun tussenkomst een mitigatie op de Exchange-server is geïnstalleerd. Microsoft stelt dat dit in de logs wordt vermeld. "Maar we beseffen ook de noodzaak voor beheerders om in real-time te weten wanneer een mitigatie is geïnstalleerd of niet", aldus Microsoft. Dat gaat daarom kijken of het beheerders kan waarschuwen voor de installatie van een mitigatie.

Afsluitend laat het techbedrijf weten dat bij een aantal organisaties de Exchange Emergency Mitigation-service standaard stond uitgeschakeld in plaats van ingeschakeld. Er wordt nu onderzocht hoe dit kon gebeuren. In de tussentijd is het mogelijk om de service handmatig in te schakelen.

Reacties (10)
04-10-2021, 11:30 door Anoniem
Tijd om die hele server te dumpen...
04-10-2021, 12:33 door Bitje-scheef
Bijzonder weer....
04-10-2021, 12:55 door Anoniem
Microsoft bepaalt achter de rug om van de beheerder! maar is niet aanspreekbaar als het misgaat.
Ongelooflijk dat beheerders dit allemaal pikken. Dat krijg je als je geen eigenaar bent en alleen maar gebruikers rechten hebt.
04-10-2021, 13:19 door Anoniem
Er is overigens wle wat te zeggen over het blijven vasthouden aan mitigaties na de update want niet alle updates van MS lijken altijd alles op te lossen en als de mitigatie niemand in de weg zat, is het een extra laagje beveiliging waarbij minder services std aan staan die toch niet nodig blijken... je gaat op die manier naar een 'default staat iets uit/dicht' situatie toe.

Wel is MS hier bezig een probleem op te pakken dat eigenlijk ICT technisch al lang (elders) opgelost is: remote configuratie en patch management (a la puppet, salt, ansible etc.).
04-10-2021, 13:46 door [Account Verwijderd] - Bijgewerkt: 04-10-2021, 14:11
Microsoft onderzoekt of automatisch geïnstalleerde mitigaties op Exchange-servers die overbodig zijn weer automatisch kunnen worden verwijderd, aangezien dat nu handmatig moet gebeuren wat een probleem voor systeembeheerders kan zijn. Tevens gaat het techbedrijf beheerders van Exchange-servers mogelijk waarschuwen wanneer er automatisch een mitigatie op hun server wordt geïnstalleerd

Het zal wel weer aan mij liggen maar dit is toch gewoon amateuristisch geknoei dat je niet van een grote 'professionele' softwarefabrikant zou verwachten? Dus komt het wéér uit bij de eerdere vaststelling dat men het onderhoud van de spaghetticodebouwwerken niet meer in de hand heeft en het van kwaad tot erger gaat met de misstanden, slechte fixes, fixes die andere problemen veroorzaken en moeten worden gefixt met nieuwe fixes of zelfs worden teruggetrokken.
04-10-2021, 14:16 door Anoniem
Door Bitje-scheef: Bijzonder weer....
Zo langzamerhand kan je dit niet meer bijzonder vinden toch?
04-10-2021, 15:00 door Anoniem
Door Anoniem: Microsoft bepaalt achter de rug om van de beheerder! maar is niet aanspreekbaar als het misgaat.
Ongelooflijk dat beheerders dit allemaal pikken. Dat krijg je als je geen eigenaar bent en alleen maar gebruikers rechten hebt.

Interessante reactie. Feitelijk, zoals ik gelezen heb zijn de mitigaties relatief klein en ook eenvoudig terug te draaien door een block, rollback of hoe je het noemen wilt. Kijk jij met deze blik ook naar antivirus pattern updates? Het proces is niet veel anders. De mitigaties op Exchange lijken me vooral URL rewrite gerelateerd te zijn.

Ik ben benieuwd, komende maanden hoe zich dit gaat ontwikkelen, want ik vind het wel degelijk een interessante ontwikkeling. Zou denk ik goed zijn als ze bij patch publicaties mitigate obsolete id's mee gaan sturen en inderdaad wellicht automarisch laten removen na een patch install. Je weet hoe dat tegenwoordig gaat met ontwikkeling.
04-10-2021, 16:11 door Anoniem
Door Anoniem:
Door Anoniem: Microsoft bepaalt achter de rug om van de beheerder! maar is niet aanspreekbaar als het misgaat.
Ongelooflijk dat beheerders dit allemaal pikken. Dat krijg je als je geen eigenaar bent en alleen maar gebruikers rechten hebt.

Interessante reactie. Feitelijk, zoals ik gelezen heb zijn de mitigaties relatief klein en ook eenvoudig terug te draaien door een block, rollback of hoe je het noemen wilt. Kijk jij met deze blik ook naar antivirus pattern updates? Het proces is niet veel anders. De mitigaties op Exchange lijken me vooral URL rewrite gerelateerd te zijn.

Ik ben benieuwd, komende maanden hoe zich dit gaat ontwikkelen, want ik vind het wel degelijk een interessante ontwikkeling. Zou denk ik goed zijn als ze bij patch publicaties mitigate obsolete id's mee gaan sturen en inderdaad wellicht automarisch laten removen na een patch install. Je weet hoe dat tegenwoordig gaat met ontwikkeling.
Bij antivirus is het logisch dat de virus signatures veranderen en dus ook de patterns om malware te kunnne herkennen.
Het elke dag updaten van deze patterns hoort dus bij de functionele werking van het pakket. Dat is iets heel anders dan.
Hier gaat het om de integriteit van de software zelf en dat MS "achterbaks" probeert te fixen zonder beheerders te informeren.
04-10-2021, 20:58 door Anoniem
Kunnen we nu ook bij Microsoft gaan aankloppen om alle uren te gaan betalen die we telkens moeten maken om alle designfouten in hun software te mitigeren? (printergate bijvoorbeeld).

Wanneer worden softwarebedrijven eens aansprakelijk gesteld als ze bewust onveilige designkeuzes maken/laten zitten of wanneer ze bewust beveiligingsopties achter enterprise licenties en/of abonnementsvormen hangen?

Zo blijftt er een perverse prikkel voor bedrijven zoals Microsoft om geen verantwoordelijkheid te hoeven nemen: de klant betaald toch wel en het marktfalen op de OS/Cloud markt zorgt ervoor dat consumenten vaak minder mobiel zijn om naar een andere softwarepakket over te stappen.

Tijd om ze in ieder geval eens te gaan opsplitsen, zou al heel wat schelen als de software en cloud onderdelen van verschillende eigenaren zijn, dan kunnen ze daar tenminste minder misbruik van maken.
05-10-2021, 18:34 door Anoniem
https://opensource.com/article/21/9/open-source-groupware-grommunio?utm_medium=Email&utm_campaign=weekly&sc_cid=7013a000002pot6AAA
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.