image

Microsoft dicht zerodaylek in Windows, heeft Exchange-updates nog niet klaar

woensdag 12 oktober 2022, 09:52 door Redactie, 13 reacties

Tijdens de patchdinsdag van oktober heeft Microsoft 85 kwetsbaarheden in de eigen producten verholpen, waaronder een actief aangevallen zerodaylek in Windows en een kritieke kwetsbaarheid waardoor Kubernetes-clusters zijn over te nemen. Updates voor twee zerodays in Exchange Server zijn niet verschenen. De patches zijn volgens Microsoft nog niet klaar.

Het zerodaylek dat Microsoft deze maand heeft gepatcht, aangeduid als CVE-2022-41033, bevindt zich in de Windows COM+ Event System Service. Een aanvaller die al toegang tot een systeem heeft kan via de kwetsbaarheid in deze Windows-service zijn rechten verhogen en zo het systeem volledig overnemen. Het beveiligingslek was door een anonieme beveiligingsonderzoeker aan Microsoft gerapporteerd. Verdere details over de aanvallen zijn niet door het techbedrijf gegeven.

Een andere kwetsbaarheid die deze maand de aandacht verdient bevindt zich in de cluster connect feature van Azure Arc-enabled Kubernetes clusters. Via dit beveiligingslek (CVE-2022-37968) kan een ongeauthenticeerde gebruiker zijn rechten verhogen en beheerderscontrole over de Kubernetes-cluster krijgen. Om op afstand misbruik van dit lek te maken moet een aanvaller wel het willekeurig gegenereerde dns-endpoint van een Azure Arc-enabled Kubernetes cluster weten. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.

Grote afwezige in de patchronde zijn updates voor twee actief aangevallen zerodaylekken in Exchange Server. Microsoft waarschuwde eind vorige maand voor de aanvallen en kwam met tijdelijke mitigaties waarmee organisaties zich kunnen beschermen. Via de kwetsbaarheid kan een aanvaller die over de inloggegevens van een mailbox beschikt Exchange-servers op afstand overnemen. De updates om de kwetsbaarheden te verhelpen zijn echter nog niet klaar, aldus Microsoft. Wanneer ze wel zullen verschijnen is nog onbekend.

Reacties (13)
12-10-2022, 11:32 door Hatsikidee - Bijgewerkt: 12-10-2022, 11:33

Grote afwezige in de patchronde zijn updates voor twee actief aangevallen zerodaylekken in Exchange Server. Microsoft waarschuwde eind vorige maand voor de aanvallen en kwam met tijdelijke mitigaties waarmee organisaties zich kunnen beschermen. Via de kwetsbaarheid kan een aanvaller die over de inloggegevens van een mailbox beschikt Exchange-servers op afstand overnemen. De updates om de kwetsbaarheden te verhelpen zijn echter nog niet klaar, aldus Microsoft. Wanneer ze wel zullen verschijnen is nog onbekend.

Belangrijk om te vermelden is dat Microsoft automatisch de workaround deployed naar Exchange 2016+ servers, die gebruik maken van de EEMS service.
12-10-2022, 12:43 door Anoniem
Door Hatsikidee:

Grote afwezige in de patchronde zijn updates voor twee actief aangevallen zerodaylekken in Exchange Server. Microsoft waarschuwde eind vorige maand voor de aanvallen en kwam met tijdelijke mitigaties waarmee organisaties zich kunnen beschermen. Via de kwetsbaarheid kan een aanvaller die over de inloggegevens van een mailbox beschikt Exchange-servers op afstand overnemen. De updates om de kwetsbaarheden te verhelpen zijn echter nog niet klaar, aldus Microsoft. Wanneer ze wel zullen verschijnen is nog onbekend.

Belangrijk om te vermelden is dat Microsoft automatisch de workaround deployed naar Exchange 2016+ servers, die gebruik maken van de EEMS service.

Absoluut waar. In aanvulling hierop is het advies om voor non-admins Remote Powershell uit te schakelen via het set-user command. Overigens is er gister wel een SU verschreven voor Exchange, maar dit is een revision op de AUG patch, lijkt meer een bug fix n.a.v. Extended Protection waar sommige klanten/omgevingen last van hebben.
12-10-2022, 13:35 door Anoniem
Persoonlijk vind ik de volgende kwetsbaarheden ook niet onbelangrijk:

Two elevation-of-privilege vulnerabilities affecting Active Directory will warrant prompt administrative attention. CVE-2022-37976 is a critical bug in the Active Directory Certificate Services with a CVSS rating of 8.8 and CVE-2022-38042 is a flaw rated important in Active Directory Domain Services. Microsoft indicated a successful exploit of either vulnerability could give the attacker domain administrator privileges.
12-10-2022, 17:54 door Anoniem
Ongelooflijk, weer wordt er bewezen dat windows eigenlijk elke maand jaar in en jaar uit continue kritisch lek is.
Retorische vraag: Welke manager kan deze keuze nog verantwoorden?
12-10-2022, 19:55 door Anoniem
Door Anoniem: Ongelooflijk, weer wordt er bewezen dat windows eigenlijk elke maand jaar in en jaar uit continue kritisch lek is.
Retorische vraag: Welke manager kan deze keuze nog verantwoorden?

al die managers zitten in hetzelfde schuitje; vendor lock in. de rest van het verhaal is downplayen/bagataliseren tot het pensioen. alleen bij nieuwe startups of grote technische tokos zie je vaker een andere koers gevaren worden.
12-10-2022, 20:56 door Anoniem
Door Anoniem: Ongelooflijk, weer wordt er bewezen dat windows eigenlijk elke maand jaar in en jaar uit continue kritisch lek is.
Retorische vraag: Welke manager kan deze keuze nog verantwoorden?
Welk besturingsysteem is volgens jou maand na maand jaar na jaar zonder updates? Noem er eens 1.
Weet je ik maak het wat makkelijker welk OS komt er niet elke maand met een update vanwege kwetsbaarheden? Juist dat is er niet.
12-10-2022, 22:23 door Anoniem
Door Anoniem:
Door Anoniem: Ongelooflijk, weer wordt er bewezen dat windows eigenlijk elke maand jaar in en jaar uit continue kritisch lek is.
Retorische vraag: Welke manager kan deze keuze nog verantwoorden?
Welk besturingsysteem is volgens jou maand na maand jaar na jaar zonder updates? Noem er eens 1.
Weet je ik maak het wat makkelijker welk OS komt er niet elke maand met een update vanwege kwetsbaarheden? Juist dat is er niet.

het gaat niet om het feit dat er updates nodg zijn, het gaat om het feit dat er voor exchnage GEEN patches zijn voor CVEs die in het wild gebruikt worden!

"Grote afwezige in de patchronde zijn updates voor twee actief aangevallen zerodaylekken in Exchange Server."

maar dat wist je natuurlijk wel al nietwaar?

en niet om het een of ander, maar ik gebruik bijv RHEL 9 (inc postfix dus) en die heeft geen ongepatchte exploits open staan die gebruikt worden door de hackertz. zoek zelluf maar op: https://access.redhat.com/security/security-updates. voor RHEL hebben we het over een geheel OS inc allerlij packages terwijl we hier praten bij MS over alleen exchange. Dat Windows ook nog een hele reutemeteut aan patches net gehad heeft, komp daar bovenop!

het is gewoonweg genant allemaal!
13-10-2022, 09:20 door Anoniem
Door Anoniem:
Door Anoniem: Ongelooflijk, weer wordt er bewezen dat windows eigenlijk elke maand jaar in en jaar uit continue kritisch lek is.
Retorische vraag: Welke manager kan deze keuze nog verantwoorden?
Welk besturingsysteem is volgens jou maand na maand jaar na jaar zonder updates? Noem er eens 1.
Weet je ik maak het wat makkelijker welk OS komt er niet elke maand met een update vanwege kwetsbaarheden? Juist dat is er niet.
Dit is precies wat 19:55 door Anoniem wordt bedoeld; downplayen.
Weet je echt niet wat kritiek betekent? Zoek eens severity rating op of wat een zeroday lek inhoudt.
13-10-2022, 16:52 door Anoniem
Door Anoniem:

en niet om het een of ander, maar ik gebruik bijv RHEL 9 (inc postfix dus) en die heeft geen ongepatchte exploits open staan die gebruikt worden door de hackertz. zoek zelluf maar op: https://access.redhat.com/security/security-updates. voor RHEL hebben we het over een geheel OS inc allerlij packages terwijl we hier praten bij MS over alleen exchange. Dat Windows ook nog een hele reutemeteut aan patches net gehad heeft, komp daar bovenop!
Dus jij patched iedere dag gewoon je servers even, natuurlijk wel eerste even een change aanvragen bij het CAB voor die dag, zodat je zelfde dag kan patchen en alle normale productie changes maar even moeten wachten?

het is gewoonweg genant allemaal!
Klopt, daar is niet veel meer over te zeggen.
13-10-2022, 18:38 door Anoniem
Door Anoniem:
Door Anoniem:

en niet om het een of ander, maar ik gebruik bijv RHEL 9 (inc postfix dus) en die heeft geen ongepatchte exploits open staan die gebruikt worden door de hackertz. zoek zelluf maar op: https://access.redhat.com/security/security-updates. voor RHEL hebben we het over een geheel OS inc allerlij packages terwijl we hier praten bij MS over alleen exchange. Dat Windows ook nog een hele reutemeteut aan patches net gehad heeft, komp daar bovenop!
Dus jij patched iedere dag gewoon je servers even, natuurlijk wel eerste even een change aanvragen bij het CAB voor die dag, zodat je zelfde dag kan patchen en alle normale productie changes maar even moeten wachten?

het is gewoonweg genant allemaal!
Klopt, daar is niet veel meer over te zeggen.
Kritieke security patches worden onmiddellijk gedaan (komen voor Linux sporadisch voor en niet elke maand zoals voor windows). Belangrijke patches binnen 2 weken of na 1 maand (natuurlijk na beoordeling). Andere patches sparen we op voor elke maand (ota en productie). Onze windows is 1x per maand (ota en productie) en bijna elke maand gedonder tot aan terugdraaien van patches aan toe (onder Linux hier nog nooit nodig geweest).
Exchange hebben wij gelukkig de deur uitgedaan. Wij gebruiken nu Linux mailrelay appliances (doen het altijd en snel) naar 365.
14-10-2022, 07:43 door Anoniem
Door Anoniem:
Kritieke security patches worden onmiddellijk gedaan (komen voor Linux sporadisch voor en niet elke maand zoals voor windows). Belangrijke patches binnen 2 weken of na 1 maand (natuurlijk na beoordeling). Andere patches sparen we op voor elke maand (ota en productie). Onze windows is 1x per maand (ota en productie) en bijna elke maand gedonder tot aan terugdraaien van patches aan toe (onder Linux hier nog nooit nodig geweest).
Klinkt goed, tenzij je je updates binnen een week moet installeren volgens je afspraken. En voor Linux ecosysteem (dus niet alleen de kernel) komen ook best heel vaak updates uit je die gewoon volgens security afspraken moet installeren.

Maar patches terug draaien, bijna elke maand? Ik heb dan ernstig mijn twijfels over de kwaliteit van je infrastructuur en/of de beheerders. We patches hier bij klanten 1000den windows servers zonder ook maar ooit patches terug te draaien.

Wij gebruiken nu Linux mailrelay appliances (doen het altijd en snel) naar 365.
Onze Windows SMTP servers ook. Dus wat wil je hiermee zeggen?
14-10-2022, 14:54 door Anoniem
Door Anoniem:
Door Anoniem:
Kritieke security patches worden onmiddellijk gedaan (komen voor Linux sporadisch voor en niet elke maand zoals voor windows). Belangrijke patches binnen 2 weken of na 1 maand (natuurlijk na beoordeling). Andere patches sparen we op voor elke maand (ota en productie). Onze windows is 1x per maand (ota en productie) en bijna elke maand gedonder tot aan terugdraaien van patches aan toe (onder Linux hier nog nooit nodig geweest).
Klinkt goed, tenzij je je updates binnen een week moet installeren volgens je afspraken. En voor Linux ecosysteem (dus niet alleen de kernel) komen ook best heel vaak updates uit je die gewoon volgens security afspraken moet installeren.

Maar patches terug draaien, bijna elke maand? Ik heb dan ernstig mijn twijfels over de kwaliteit van je infrastructuur en/of de beheerders. We patches hier bij klanten 1000den windows servers zonder ook maar ooit patches terug te draaien.

Wij gebruiken nu Linux mailrelay appliances (doen het altijd en snel) naar 365.
Onze Windows SMTP servers ook. Dus wat wil je hiermee zeggen?

en die hadden afgelopen week ook flinke patches die gaatjes dicht moesten maken enzo.... hoeveel keer heb je moeten rebooten? heb je je masjienes al gepatched of ben je nog aan het OTAPen?
14-10-2022, 21:42 door Anoniem
Door Anoniem:
Door Anoniem:
Kritieke security patches worden onmiddellijk gedaan (komen voor Linux sporadisch voor en niet elke maand zoals voor windows). Belangrijke patches binnen 2 weken of na 1 maand (natuurlijk na beoordeling). Andere patches sparen we op voor elke maand (ota en productie). Onze windows is 1x per maand (ota en productie) en bijna elke maand gedonder tot aan terugdraaien van patches aan toe (onder Linux hier nog nooit nodig geweest).
Klinkt goed, tenzij je je updates binnen een week moet installeren volgens je afspraken. En voor Linux ecosysteem (dus niet alleen de kernel) komen ook best heel vaak updates uit je die gewoon volgens security afspraken moet installeren.

Maar patches terug draaien, bijna elke maand? Ik heb dan ernstig mijn twijfels over de kwaliteit van je infrastructuur en/of de beheerders. We patches hier bij klanten 1000den windows servers zonder ook maar ooit patches terug te draaien.

Wij gebruiken nu Linux mailrelay appliances (doen het altijd en snel) naar 365.
Onze Windows SMTP servers ook. Dus wat wil je hiermee zeggen?
Dat lees ik niet bijna elke maand terugdraaien. Wel bijna elke maand gedonder. Dat is hier ook zo omdat Microsoft en settings een probleem is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.