Microsofts mitigatie voor zerodays in Exchange eenvoudig te omzeilen
De tijdelijke oplossing van Microsoft om misbruik van twee zerodaylekken in Exchange Server te voorkomen blijkt eenvoudig te omzeilen, zo laten beveiligingsonderzoekers op Twitter weten. Vorige week waarschuwde het techbedrijf voor twee kwetsbaarheden waar aanvallers actief misbruik van maken om Exchange-servers te compromitteren en waarvoor nog altijd geen beveiligingsupdates beschikbaar zijn. De aanvallen zouden voor zover bekend al sinds augustus plaatsvinden.
Microsoft kwam echter met tijdelijke mitigerende maatregelen, waaronder een URL-rewrite om bepaalde patronen in requests (.*autodiscover\.json.*\@.*Powershell.*) te detecteren en blokkeren. Hierdoor zouden de nu waargenomen aanvallen niet meer moeten werken. De URL-rewrite van Microsoft blijkt echter eenvoudig te omzeilen, zo ontdekte een beveiligingsonderzoeker genaamd Jang. Slechts het aanpassen van één karakter blijkt voldoende.
Zijn bevindingen zijn bevestigd door securitybedrijf GTSC, dat eerder details over de twee zerodaylekken openbaar maakte. Ter demonstratie publiceerde GTSC een video waarin de "mitigation bypass" wordt gedemonstreerd. Volgens Will Dormann van het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit is het beter om als patroon ".*autodiscover\.json.*Powershell." in te stellen.
Reacties (14)
Slechts het aanpassen van één karakter blijkt voldoende
Wat een fiasco. Dit moet zo langzamerhand wel het einde zijn van dit systeem.
04-10-2022, 08:42 door
_R0N_
Door Anoniem:
Slechts het aanpassen van één karakter blijkt voldoende
Wat een fiasco. Dit moet zo langzamerhand wel het einde zijn van dit systeem.Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.
Door _R0N_:
Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.
Door Anoniem:
Slechts het aanpassen van één karakter blijkt voldoende
Wat een fiasco. Dit moet zo langzamerhand wel het einde zijn van dit systeem.Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.
Groot gelijk maar doe geen moeite, enig antwoord is niet wat menig Microsoft hater hier wil horen.
Ondanks dat Google ook bij actief proberen te vermijden hun privacy veel verder aantast...
04-10-2022, 09:52 door
_R0N_
Door Anoniem:
Groot gelijk maar doe geen moeite, enig antwoord is niet wat menig Microsoft hater hier wil horen.
Ondanks dat Google ook bij actief proberen te vermijden hun privacy veel verder aantast...
Door _R0N_:
Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.
Door Anoniem:
Slechts het aanpassen van één karakter blijkt voldoende
Wat een fiasco. Dit moet zo langzamerhand wel het einde zijn van dit systeem.Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.
Groot gelijk maar doe geen moeite, enig antwoord is niet wat menig Microsoft hater hier wil horen.
Ondanks dat Google ook bij actief proberen te vermijden hun privacy veel verder aantast...
I know. Velen snappen niet dat zolang het in het nieuws komt het nog nieuwswaardig is. Het is pas een probleem als je er niet meer over leest, dan is het zo gewoon dat het vanzelfsprekend is.
Er zitten hier veel wannabe nerds die denken dat Linux de enige weg is maar voor ieder doel is er een oplossing, voor servers is dat Linux en WIndows voor desktops is dat MacOS en Windows. Ja er zijn mensen die Linux op hun desktop draaien net als mensen die Mac servers gebruiken, beide met weinig echt succes.
Ja er zijn mensen die Linux op hun desktop draaien net als mensen die Mac servers gebruiken, beide met weinig echt succes.
Ik werk al zes jaar met een Linux laptop en kan er alles mee doen wat ik ermee moet doen. Ik denk dat het succes vnl. ligt aan wat je doet. Ik kom soms op locaties waar men een scherm heeft hangen met software welke enkel voor Mac en (of soms ALLEEN) met Windows werkt. Iets wat een HDMI kabeltje snel oplost.
Ik zie mijzelf niet als Win-hater, ik gebruik het op mijn desktop thuis ook, vnl vanwege games.
Door _R0N_:
Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.
Klopt ja, maar, blijft lastig dat het per default aanstaat dus ook bij het creëren van een nieuw account. Het zou fijn zijn als dit soort instellingen per default gewoon uitstaan. Het is veel lastiger om iedere keer weer iets te moeten uitzetten dan dat je dit voor één beheerder moet aanzetten.Door Anoniem:
Slechts het aanpassen van één karakter blijkt voldoende
Wat een fiasco. Dit moet zo langzamerhand wel het einde zijn van dit systeem.Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.
04-10-2022, 15:40 door
_R0N_
Door Anoniem:
Door _R0N_:
Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.
Klopt ja, maar, blijft lastig dat het per default aanstaat dus ook bij het creëren van een nieuw account. Het zou fijn zijn als dit soort instellingen per default gewoon uitstaan. Het is veel lastiger om iedere keer weer iets te moeten uitzetten dan dat je dit voor één beheerder moet aanzetten.Door Anoniem:
Slechts het aanpassen van één karakter blijkt voldoende
Wat een fiasco. Dit moet zo langzamerhand wel het einde zijn van dit systeem.Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.
Als je changes doet aan je account via powershell gebruik je altijd remote powershell, dat betekent dat mensen gaan zeuren dat ze niet meer vanaf de cli een auto responder kunnen zetten.
04-10-2022, 15:44 door
_R0N_
Door Anoniem:
Ik werk al zes jaar met een Linux laptop en kan er alles mee doen wat ik ermee moet doen. Ik denk dat het succes vnl. ligt aan wat je doet. Ik kom soms op locaties waar men een scherm heeft hangen met software welke enkel voor Mac en (of soms ALLEEN) met Windows werkt. Iets wat een HDMI kabeltje snel oplost.
Ik zie mijzelf niet als Win-hater, ik gebruik het op mijn desktop thuis ook, vnl vanwege games.
Ja er zijn mensen die Linux op hun desktop draaien net als mensen die Mac servers gebruiken, beide met weinig echt succes.
Ik werk al zes jaar met een Linux laptop en kan er alles mee doen wat ik ermee moet doen. Ik denk dat het succes vnl. ligt aan wat je doet. Ik kom soms op locaties waar men een scherm heeft hangen met software welke enkel voor Mac en (of soms ALLEEN) met Windows werkt. Iets wat een HDMI kabeltje snel oplost.
Ik zie mijzelf niet als Win-hater, ik gebruik het op mijn desktop thuis ook, vnl vanwege games.
Het kan wel, net als een mac als server.
Ik zie het zo: Als je je (groot) ouders een computer geeft, geef je ze dan Linux? Of loop je het risico dat je elke week op visite moet komen om "beheer" te doen?
Door _R0N_:
Als je changes doet aan je account via powershell gebruik je altijd remote powershell, dat betekent dat mensen gaan zeuren dat ze niet meer vanaf de cli een auto responder kunnen zetten.
Exchange is zo leuk als een zeef. Niet afwentelen op zeurende mensen!Door Anoniem:
Door _R0N_:
Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.
Klopt ja, maar, blijft lastig dat het per default aanstaat dus ook bij het creëren van een nieuw account. Het zou fijn zijn als dit soort instellingen per default gewoon uitstaan. Het is veel lastiger om iedere keer weer iets te moeten uitzetten dan dat je dit voor één beheerder moet aanzetten.Door Anoniem:
Slechts het aanpassen van één karakter blijkt voldoende
Wat een fiasco. Dit moet zo langzamerhand wel het einde zijn van dit systeem.Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.
Als je changes doet aan je account via powershell gebruik je altijd remote powershell, dat betekent dat mensen gaan zeuren dat ze niet meer vanaf de cli een auto responder kunnen zetten.
Door _R0N_:
Het kan wel, net als een mac als server.
Ik zie het zo: Als je je (groot) ouders een computer geeft, geef je ze dan Linux? Of loop je het risico dat je elke week op visite moet komen om "beheer" te doen?
Ik kom liever langs om beheer te doen (dat kan je nog remote doen) dan om ransomware te verwijderen!Door Anoniem:
Ik werk al zes jaar met een Linux laptop en kan er alles mee doen wat ik ermee moet doen. Ik denk dat het succes vnl. ligt aan wat je doet. Ik kom soms op locaties waar men een scherm heeft hangen met software welke enkel voor Mac en (of soms ALLEEN) met Windows werkt. Iets wat een HDMI kabeltje snel oplost.
Ik zie mijzelf niet als Win-hater, ik gebruik het op mijn desktop thuis ook, vnl vanwege games.
Ja er zijn mensen die Linux op hun desktop draaien net als mensen die Mac servers gebruiken, beide met weinig echt succes.
Ik werk al zes jaar met een Linux laptop en kan er alles mee doen wat ik ermee moet doen. Ik denk dat het succes vnl. ligt aan wat je doet. Ik kom soms op locaties waar men een scherm heeft hangen met software welke enkel voor Mac en (of soms ALLEEN) met Windows werkt. Iets wat een HDMI kabeltje snel oplost.
Ik zie mijzelf niet als Win-hater, ik gebruik het op mijn desktop thuis ook, vnl vanwege games.
Het kan wel, net als een mac als server.
Ik zie het zo: Als je je (groot) ouders een computer geeft, geef je ze dan Linux? Of loop je het risico dat je elke week op visite moet komen om "beheer" te doen?
Ik ben een windowsbeheerder van beroep maar mijn ouders gebruiken ook Linux. Daar verandert niet zomaar een setting en start ook altijd op na een update. Mijn win11 niet. Deed afgelopen maand niets meer na een update.
Maar goed nu haal je er weer Linux bij terwijl dat helemaal niet het onderwerp is. Het onderwerp is een vet Exchange probleem. Niet je beheerfrustraties afwentelen graag.
Door _R0N_:
Als je changes doet aan je account via powershell gebruik je altijd remote powershell, dat betekent dat mensen gaan zeuren dat ze niet meer vanaf de cli een auto responder kunnen zetten.
Ik snap het niet, waarom kan dit niet gewoon per default uitstaan, in mijn optiek is dit een gapend gat in je beveiliging. Door Anoniem:
Door _R0N_:
Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.
Klopt ja, maar, blijft lastig dat het per default aanstaat dus ook bij het creëren van een nieuw account. Het zou fijn zijn als dit soort instellingen per default gewoon uitstaan. Het is veel lastiger om iedere keer weer iets te moeten uitzetten dan dat je dit voor één beheerder moet aanzetten.Door Anoniem:
Slechts het aanpassen van één karakter blijkt voldoende
Wat een fiasco. Dit moet zo langzamerhand wel het einde zijn van dit systeem.Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.
Als je changes doet aan je account via powershell gebruik je altijd remote powershell, dat betekent dat mensen gaan zeuren dat ze niet meer vanaf de cli een auto responder kunnen zetten.
Je hebt thuis toch ook niet per default al je deuren openstaan zodat iedere idioot ongezien naar binnen kan lopen.
Het probleem met de producten van Microsoft is altijd al geweest dat alles gemakkelijk moet zijn voor de gebruiker maar het is anders;
alles moet standaard dicht - en/of uitstaan wat standaard niet gebruikt wordt of in het geval zoals bijv. bij het aanmaken van een account dat je de optie hebt om het aan te zetten als het nodig is.
Dit is de enige manier om het overzicht en de controle over je systemen te behouden.
Nog een inkoppertje, waarom moet heden ten dagen nog steeds per default op ieder Exchange systeem Basic Auth aanstaan? Omdat het standaard tijdens de installatie nog steeds zo geïnstalleerd wordt.
Mijn advies alles dicht en alleen zelf open moeten zetten wat nodig is.
Door Anoniem:
Je hebt thuis toch ook niet per default al je deuren openstaan zodat iedere idioot ongezien naar binnen kan lopen.
Het probleem met de producten van Microsoft is altijd al geweest dat alles gemakkelijk moet zijn voor de gebruiker maar het is anders;
alles moet standaard dicht - en/of uitstaan wat standaard niet gebruikt wordt of in het geval zoals bijv. bij het aanmaken van een account dat je de optie hebt om het aan te zetten als het nodig is.
Dit is de enige manier om het overzicht en de controle over je systemen te behouden.
Nog een inkoppertje, waarom moet heden ten dagen nog steeds per default op ieder Exchange systeem Basic Auth aanstaan? Omdat het standaard tijdens de installatie nog steeds zo geïnstalleerd wordt.
Mijn advies alles dicht en alleen zelf open moeten zetten wat nodig is.
Het probleem is dat MS nog niet heeft ontdekt hoe je van settings kan afblijven tijdens een update/upgrade. Je hebt dus scripts nodig die die settings iedere keer weer goed zetten.Door _R0N_:
Als je changes doet aan je account via powershell gebruik je altijd remote powershell, dat betekent dat mensen gaan zeuren dat ze niet meer vanaf de cli een auto responder kunnen zetten.
Ik snap het niet, waarom kan dit niet gewoon per default uitstaan, in mijn optiek is dit een gapend gat in je beveiliging. Door Anoniem:
Door _R0N_:
Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.
Klopt ja, maar, blijft lastig dat het per default aanstaat dus ook bij het creëren van een nieuw account. Het zou fijn zijn als dit soort instellingen per default gewoon uitstaan. Het is veel lastiger om iedere keer weer iets te moeten uitzetten dan dat je dit voor één beheerder moet aanzetten.Door Anoniem:
Slechts het aanpassen van één karakter blijkt voldoende
Wat een fiasco. Dit moet zo langzamerhand wel het einde zijn van dit systeem.Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.
Als je changes doet aan je account via powershell gebruik je altijd remote powershell, dat betekent dat mensen gaan zeuren dat ze niet meer vanaf de cli een auto responder kunnen zetten.
Je hebt thuis toch ook niet per default al je deuren openstaan zodat iedere idioot ongezien naar binnen kan lopen.
Het probleem met de producten van Microsoft is altijd al geweest dat alles gemakkelijk moet zijn voor de gebruiker maar het is anders;
alles moet standaard dicht - en/of uitstaan wat standaard niet gebruikt wordt of in het geval zoals bijv. bij het aanmaken van een account dat je de optie hebt om het aan te zetten als het nodig is.
Dit is de enige manier om het overzicht en de controle over je systemen te behouden.
Nog een inkoppertje, waarom moet heden ten dagen nog steeds per default op ieder Exchange systeem Basic Auth aanstaan? Omdat het standaard tijdens de installatie nog steeds zo geïnstalleerd wordt.
Mijn advies alles dicht en alleen zelf open moeten zetten wat nodig is.
Door Anoniem:
Precies, zoals ik al eerder schreef als beheerder sta je iedere keer weer voor verrassingen als alles weer per default aan of openstaat.Door Anoniem:
Je hebt thuis toch ook niet per default al je deuren openstaan zodat iedere idioot ongezien naar binnen kan lopen.
Het probleem met de producten van Microsoft is altijd al geweest dat alles gemakkelijk moet zijn voor de gebruiker maar het is anders;
alles moet standaard dicht - en/of uitstaan wat standaard niet gebruikt wordt of in het geval zoals bijv. bij het aanmaken van een account dat je de optie hebt om het aan te zetten als het nodig is.
Dit is de enige manier om het overzicht en de controle over je systemen te behouden.
Nog een inkoppertje, waarom moet heden ten dagen nog steeds per default op ieder Exchange systeem Basic Auth aanstaan? Omdat het standaard tijdens de installatie nog steeds zo geïnstalleerd wordt.
Mijn advies alles dicht en alleen zelf open moeten zetten wat nodig is.
Het probleem is dat MS nog niet heeft ontdekt hoe je van settings kan afblijven tijdens een update/upgrade. Je hebt dus scripts nodig die die settings iedere keer weer goed zetten.Door _R0N_:
Als je changes doet aan je account via powershell gebruik je altijd remote powershell, dat betekent dat mensen gaan zeuren dat ze niet meer vanaf de cli een auto responder kunnen zetten.
Ik snap het niet, waarom kan dit niet gewoon per default uitstaan, in mijn optiek is dit een gapend gat in je beveiliging. Door Anoniem:
Door _R0N_:
Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.
Klopt ja, maar, blijft lastig dat het per default aanstaat dus ook bij het creëren van een nieuw account. Het zou fijn zijn als dit soort instellingen per default gewoon uitstaan. Het is veel lastiger om iedere keer weer iets te moeten uitzetten dan dat je dit voor één beheerder moet aanzetten.Door Anoniem:
Slechts het aanpassen van één karakter blijkt voldoende
Wat een fiasco. Dit moet zo langzamerhand wel het einde zijn van dit systeem.Ach Bind is er ook nog steeds, dat is zo vaak lek dat het geen nieuws meer is.
En dit verhaal is alweer oud nieuws, het is eenvoudig om PS uit te schakelen voor alle mailbox users en het probleem is weg.
Als je changes doet aan je account via powershell gebruik je altijd remote powershell, dat betekent dat mensen gaan zeuren dat ze niet meer vanaf de cli een auto responder kunnen zetten.
Je hebt thuis toch ook niet per default al je deuren openstaan zodat iedere idioot ongezien naar binnen kan lopen.
Het probleem met de producten van Microsoft is altijd al geweest dat alles gemakkelijk moet zijn voor de gebruiker maar het is anders;
alles moet standaard dicht - en/of uitstaan wat standaard niet gebruikt wordt of in het geval zoals bijv. bij het aanmaken van een account dat je de optie hebt om het aan te zetten als het nodig is.
Dit is de enige manier om het overzicht en de controle over je systemen te behouden.
Nog een inkoppertje, waarom moet heden ten dagen nog steeds per default op ieder Exchange systeem Basic Auth aanstaan? Omdat het standaard tijdens de installatie nog steeds zo geïnstalleerd wordt.
Mijn advies alles dicht en alleen zelf open moeten zetten wat nodig is.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
