image

Microsofts mitigatie voor zerodays in Exchange eenvoudig te omzeilen

maandag 3 oktober 2022, 17:28 door Redactie, 14 reacties

De tijdelijke oplossing van Microsoft om misbruik van twee zerodaylekken in Exchange Server te voorkomen blijkt eenvoudig te omzeilen, zo laten beveiligingsonderzoekers op Twitter weten. Vorige week waarschuwde het techbedrijf voor twee kwetsbaarheden waar aanvallers actief misbruik van maken om Exchange-servers te compromitteren en waarvoor nog altijd geen beveiligingsupdates beschikbaar zijn. De aanvallen zouden voor zover bekend al sinds augustus plaatsvinden.

Microsoft kwam echter met tijdelijke mitigerende maatregelen, waaronder een URL-rewrite om bepaalde patronen in requests (.*autodiscover\.json.*\@.*Powershell.*) te detecteren en blokkeren. Hierdoor zouden de nu waargenomen aanvallen niet meer moeten werken. De URL-rewrite van Microsoft blijkt echter eenvoudig te omzeilen, zo ontdekte een beveiligingsonderzoeker genaamd Jang. Slechts het aanpassen van één karakter blijkt voldoende.

Zijn bevindingen zijn bevestigd door securitybedrijf GTSC, dat eerder details over de twee zerodaylekken openbaar maakte. Ter demonstratie publiceerde GTSC een video waarin de "mitigation bypass" wordt gedemonstreerd. Volgens Will Dormann van het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit is het beter om als patroon ".*autodiscover\.json.*Powershell." in te stellen.

Image

Reacties (14)
03-10-2022, 22:54 door Anoniem
Slechts het aanpassen van één karakter blijkt voldoende
Wat een fiasco. Dit moet zo langzamerhand wel het einde zijn van dit systeem.
04-10-2022, 06:39 door Anoniem
Goed idee, alles wat lek is zetten we gewoon uit…
04-10-2022, 08:42 door _R0N_
Door Anoniem:
Slechts het aanpassen van één karakter blijkt voldoende
Wat een fiasco. Dit moet zo langzamerhand wel het einde zijn van dit systeem.

Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.
04-10-2022, 09:30 door Anoniem
Door _R0N_:
Door Anoniem:
Slechts het aanpassen van één karakter blijkt voldoende
Wat een fiasco. Dit moet zo langzamerhand wel het einde zijn van dit systeem.

Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.

Groot gelijk maar doe geen moeite, enig antwoord is niet wat menig Microsoft hater hier wil horen.
Ondanks dat Google ook bij actief proberen te vermijden hun privacy veel verder aantast...
04-10-2022, 09:52 door _R0N_
Door Anoniem:
Door _R0N_:
Door Anoniem:
Slechts het aanpassen van één karakter blijkt voldoende
Wat een fiasco. Dit moet zo langzamerhand wel het einde zijn van dit systeem.

Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.

Groot gelijk maar doe geen moeite, enig antwoord is niet wat menig Microsoft hater hier wil horen.
Ondanks dat Google ook bij actief proberen te vermijden hun privacy veel verder aantast...

I know. Velen snappen niet dat zolang het in het nieuws komt het nog nieuwswaardig is. Het is pas een probleem als je er niet meer over leest, dan is het zo gewoon dat het vanzelfsprekend is.
Er zitten hier veel wannabe nerds die denken dat Linux de enige weg is maar voor ieder doel is er een oplossing, voor servers is dat Linux en WIndows voor desktops is dat MacOS en Windows. Ja er zijn mensen die Linux op hun desktop draaien net als mensen die Mac servers gebruiken, beide met weinig echt succes.
04-10-2022, 11:15 door Anoniem
Ja er zijn mensen die Linux op hun desktop draaien net als mensen die Mac servers gebruiken, beide met weinig echt succes.

Ik werk al zes jaar met een Linux laptop en kan er alles mee doen wat ik ermee moet doen. Ik denk dat het succes vnl. ligt aan wat je doet. Ik kom soms op locaties waar men een scherm heeft hangen met software welke enkel voor Mac en (of soms ALLEEN) met Windows werkt. Iets wat een HDMI kabeltje snel oplost.

Ik zie mijzelf niet als Win-hater, ik gebruik het op mijn desktop thuis ook, vnl vanwege games.
04-10-2022, 13:34 door Anoniem
Door _R0N_:
Door Anoniem:
Slechts het aanpassen van één karakter blijkt voldoende
Wat een fiasco. Dit moet zo langzamerhand wel het einde zijn van dit systeem.

Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.
Klopt ja, maar, blijft lastig dat het per default aanstaat dus ook bij het creëren van een nieuw account. Het zou fijn zijn als dit soort instellingen per default gewoon uitstaan. Het is veel lastiger om iedere keer weer iets te moeten uitzetten dan dat je dit voor één beheerder moet aanzetten.
04-10-2022, 15:40 door _R0N_
Door Anoniem:
Door _R0N_:
Door Anoniem:
Slechts het aanpassen van één karakter blijkt voldoende
Wat een fiasco. Dit moet zo langzamerhand wel het einde zijn van dit systeem.

Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.
Klopt ja, maar, blijft lastig dat het per default aanstaat dus ook bij het creëren van een nieuw account. Het zou fijn zijn als dit soort instellingen per default gewoon uitstaan. Het is veel lastiger om iedere keer weer iets te moeten uitzetten dan dat je dit voor één beheerder moet aanzetten.

Als je changes doet aan je account via powershell gebruik je altijd remote powershell, dat betekent dat mensen gaan zeuren dat ze niet meer vanaf de cli een auto responder kunnen zetten.
04-10-2022, 15:44 door _R0N_
Door Anoniem:
Ja er zijn mensen die Linux op hun desktop draaien net als mensen die Mac servers gebruiken, beide met weinig echt succes.

Ik werk al zes jaar met een Linux laptop en kan er alles mee doen wat ik ermee moet doen. Ik denk dat het succes vnl. ligt aan wat je doet. Ik kom soms op locaties waar men een scherm heeft hangen met software welke enkel voor Mac en (of soms ALLEEN) met Windows werkt. Iets wat een HDMI kabeltje snel oplost.

Ik zie mijzelf niet als Win-hater, ik gebruik het op mijn desktop thuis ook, vnl vanwege games.

Het kan wel, net als een mac als server.
Ik zie het zo: Als je je (groot) ouders een computer geeft, geef je ze dan Linux? Of loop je het risico dat je elke week op visite moet komen om "beheer" te doen?
04-10-2022, 15:53 door Anoniem
Door _R0N_:
Door Anoniem:
Door _R0N_:
Door Anoniem:
Slechts het aanpassen van één karakter blijkt voldoende
Wat een fiasco. Dit moet zo langzamerhand wel het einde zijn van dit systeem.

Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.
Klopt ja, maar, blijft lastig dat het per default aanstaat dus ook bij het creëren van een nieuw account. Het zou fijn zijn als dit soort instellingen per default gewoon uitstaan. Het is veel lastiger om iedere keer weer iets te moeten uitzetten dan dat je dit voor één beheerder moet aanzetten.

Als je changes doet aan je account via powershell gebruik je altijd remote powershell, dat betekent dat mensen gaan zeuren dat ze niet meer vanaf de cli een auto responder kunnen zetten.
Exchange is zo leuk als een zeef. Niet afwentelen op zeurende mensen!
04-10-2022, 15:59 door Anoniem
Door _R0N_:
Door Anoniem:
Ja er zijn mensen die Linux op hun desktop draaien net als mensen die Mac servers gebruiken, beide met weinig echt succes.

Ik werk al zes jaar met een Linux laptop en kan er alles mee doen wat ik ermee moet doen. Ik denk dat het succes vnl. ligt aan wat je doet. Ik kom soms op locaties waar men een scherm heeft hangen met software welke enkel voor Mac en (of soms ALLEEN) met Windows werkt. Iets wat een HDMI kabeltje snel oplost.

Ik zie mijzelf niet als Win-hater, ik gebruik het op mijn desktop thuis ook, vnl vanwege games.

Het kan wel, net als een mac als server.
Ik zie het zo: Als je je (groot) ouders een computer geeft, geef je ze dan Linux? Of loop je het risico dat je elke week op visite moet komen om "beheer" te doen?
Ik kom liever langs om beheer te doen (dat kan je nog remote doen) dan om ransomware te verwijderen!
Ik ben een windowsbeheerder van beroep maar mijn ouders gebruiken ook Linux. Daar verandert niet zomaar een setting en start ook altijd op na een update. Mijn win11 niet. Deed afgelopen maand niets meer na een update.
Maar goed nu haal je er weer Linux bij terwijl dat helemaal niet het onderwerp is. Het onderwerp is een vet Exchange probleem. Niet je beheerfrustraties afwentelen graag.
04-10-2022, 16:28 door Anoniem
Door _R0N_:
Door Anoniem:
Door _R0N_:
Door Anoniem:
Slechts het aanpassen van één karakter blijkt voldoende
Wat een fiasco. Dit moet zo langzamerhand wel het einde zijn van dit systeem.

Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.
Klopt ja, maar, blijft lastig dat het per default aanstaat dus ook bij het creëren van een nieuw account. Het zou fijn zijn als dit soort instellingen per default gewoon uitstaan. Het is veel lastiger om iedere keer weer iets te moeten uitzetten dan dat je dit voor één beheerder moet aanzetten.

Als je changes doet aan je account via powershell gebruik je altijd remote powershell, dat betekent dat mensen gaan zeuren dat ze niet meer vanaf de cli een auto responder kunnen zetten.
Ik snap het niet, waarom kan dit niet gewoon per default uitstaan, in mijn optiek is dit een gapend gat in je beveiliging.

Je hebt thuis toch ook niet per default al je deuren openstaan zodat iedere idioot ongezien naar binnen kan lopen.

Het probleem met de producten van Microsoft is altijd al geweest dat alles gemakkelijk moet zijn voor de gebruiker maar het is anders;

alles moet standaard dicht - en/of uitstaan wat standaard niet gebruikt wordt of in het geval zoals bijv. bij het aanmaken van een account dat je de optie hebt om het aan te zetten als het nodig is.

Dit is de enige manier om het overzicht en de controle over je systemen te behouden.

Nog een inkoppertje, waarom moet heden ten dagen nog steeds per default op ieder Exchange systeem Basic Auth aanstaan? Omdat het standaard tijdens de installatie nog steeds zo geïnstalleerd wordt.

Mijn advies alles dicht en alleen zelf open moeten zetten wat nodig is.
04-10-2022, 22:56 door Anoniem
Door Anoniem:
Door _R0N_:
Door Anoniem:
Door _R0N_:
Door Anoniem:
Slechts het aanpassen van één karakter blijkt voldoende
Wat een fiasco. Dit moet zo langzamerhand wel het einde zijn van dit systeem.

Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.
Klopt ja, maar, blijft lastig dat het per default aanstaat dus ook bij het creëren van een nieuw account. Het zou fijn zijn als dit soort instellingen per default gewoon uitstaan. Het is veel lastiger om iedere keer weer iets te moeten uitzetten dan dat je dit voor één beheerder moet aanzetten.

Als je changes doet aan je account via powershell gebruik je altijd remote powershell, dat betekent dat mensen gaan zeuren dat ze niet meer vanaf de cli een auto responder kunnen zetten.
Ik snap het niet, waarom kan dit niet gewoon per default uitstaan, in mijn optiek is dit een gapend gat in je beveiliging.

Je hebt thuis toch ook niet per default al je deuren openstaan zodat iedere idioot ongezien naar binnen kan lopen.

Het probleem met de producten van Microsoft is altijd al geweest dat alles gemakkelijk moet zijn voor de gebruiker maar het is anders;

alles moet standaard dicht - en/of uitstaan wat standaard niet gebruikt wordt of in het geval zoals bijv. bij het aanmaken van een account dat je de optie hebt om het aan te zetten als het nodig is.

Dit is de enige manier om het overzicht en de controle over je systemen te behouden.

Nog een inkoppertje, waarom moet heden ten dagen nog steeds per default op ieder Exchange systeem Basic Auth aanstaan? Omdat het standaard tijdens de installatie nog steeds zo geïnstalleerd wordt.

Mijn advies alles dicht en alleen zelf open moeten zetten wat nodig is.
Het probleem is dat MS nog niet heeft ontdekt hoe je van settings kan afblijven tijdens een update/upgrade. Je hebt dus scripts nodig die die settings iedere keer weer goed zetten.
05-10-2022, 09:43 door Anoniem
Door Anoniem:
Door Anoniem:
Door _R0N_:
Door Anoniem:
Door _R0N_:
Door Anoniem:
Slechts het aanpassen van één karakter blijkt voldoende
Wat een fiasco. Dit moet zo langzamerhand wel het einde zijn van dit systeem.

Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.
Klopt ja, maar, blijft lastig dat het per default aanstaat dus ook bij het creëren van een nieuw account. Het zou fijn zijn als dit soort instellingen per default gewoon uitstaan. Het is veel lastiger om iedere keer weer iets te moeten uitzetten dan dat je dit voor één beheerder moet aanzetten.

Als je changes doet aan je account via powershell gebruik je altijd remote powershell, dat betekent dat mensen gaan zeuren dat ze niet meer vanaf de cli een auto responder kunnen zetten.
Ik snap het niet, waarom kan dit niet gewoon per default uitstaan, in mijn optiek is dit een gapend gat in je beveiliging.

Je hebt thuis toch ook niet per default al je deuren openstaan zodat iedere idioot ongezien naar binnen kan lopen.

Het probleem met de producten van Microsoft is altijd al geweest dat alles gemakkelijk moet zijn voor de gebruiker maar het is anders;

alles moet standaard dicht - en/of uitstaan wat standaard niet gebruikt wordt of in het geval zoals bijv. bij het aanmaken van een account dat je de optie hebt om het aan te zetten als het nodig is.

Dit is de enige manier om het overzicht en de controle over je systemen te behouden.

Nog een inkoppertje, waarom moet heden ten dagen nog steeds per default op ieder Exchange systeem Basic Auth aanstaan? Omdat het standaard tijdens de installatie nog steeds zo geïnstalleerd wordt.

Mijn advies alles dicht en alleen zelf open moeten zetten wat nodig is.
Het probleem is dat MS nog niet heeft ontdekt hoe je van settings kan afblijven tijdens een update/upgrade. Je hebt dus scripts nodig die die settings iedere keer weer goed zetten.
Precies, zoals ik al eerder schreef als beheerder sta je iedere keer weer voor verrassingen als alles weer per default aan of openstaat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.