image

Italiaanse Post lekt data 25.000 mensen via niet gepatchte Exchange-server

maandag 28 oktober 2024, 16:28 door Redactie, 12 reacties

De Italiaanse Post heeft van 25.000 mensen de gegevens gelekt, omdat het had nagelaten beveiligingsupdates voor bekende en actief misbruikte kwetsbaarheden in Microsoft Exchange Server te installeren. De patches waren al zo'n tien maanden beschikbaar. De kwetsbare Exchange-servers werden vorig jaar augustus het doelwit van een ransomware-aanval, waarbij criminelen er met gegevens van personeel en sollicitanten vandoor gingen. De Italiaanse privacytoezichthouder GPDP heeft de Italiaanse Post een boete van 900.000 euro opgelegd.

De aanvallers maakten misbruik van twee kwetsbaarheden, aangeduid als CVE-2022-41080 en CVE-2022-41082. Via de kwetsbaarheden kan een aanvaller zich op afstand admin van een kwetsbare server maken. Op 30 september 2022 kwam Microsoft met tijdelijke mitigatiemaatregelen voor de problemen. Op 8 november volgde het techbedrijf met beveiligingsupdates om de twee kwetsbaarheden te verhelpen. De beveiligingsupdates werden niet door de Italiaanse Post geïnstalleerd, waardoor de aanval op 17 augustus 2023 mogelijk was.

De gestolen gegevens bestonden onder andere uit gezondheidsinformatie, identificatiegegevens, lidmaatschap van vakbonden, strafbladen en financiële gegevens. De Italiaanse privacytoezichthouder GPDP deed onderzoek naar het datalek en stelde vast dat de Italiaanse post niet alles heeft gedaan wat het kon doen om de persoonsgegeven te beschermen, aangezien de updates al geruime tijd beschikbaar waren. Daarmee heeft het de AVG overtreden, aldus het oordeel van de autoriteit.

Reacties (12)
28-10-2024, 16:37 door Anoniem
Je zou verwachten dat er voor 9 ton wel iemand te vinden is die de Exchange updates durft te installeren, of is dat echt zo'n drama waar niemand zijn handen aan wil branden?
28-10-2024, 16:46 door _R0N_
Door Anoniem: Je zou verwachten dat er voor 9 ton wel iemand te vinden is die de Exchange updates durft te installeren, of is dat echt zo'n drama waar niemand zijn handen aan wil branden?

Nee, het is juist heel simpel maar veel stropdassen willen eerst door 10 brandende hoepels springen.

Exchange updates gaan hier al 10 jaar unattended.
28-10-2024, 16:47 door _R0N_
2 kwetsbaarheden van 2022, kom op dat moet een jaar later toch geen probleem meer kunnen zijn.
29-10-2024, 10:33 door Anoniem
Door _R0N_:
Door Anoniem: Je zou verwachten dat er voor 9 ton wel iemand te vinden is die de Exchange updates durft te installeren, of is dat echt zo'n drama waar niemand zijn handen aan wil branden?

Nee, het is juist heel simpel maar veel stropdassen willen eerst door 10 brandende hoepels springen.

Exchange updates gaan hier al 10 jaar unattended.
Heb jij aandelen of ben je gewoon fan van een multinational? want hier klopt werkelijk niks van. Ik las toch regelmatig "Microsoft reportedly advised administrators via personal message to uninstall the latest update" https://www.techzine.eu/news/security/117976/windows-and-exchange-servers-crash-after-march-2024-update/ Gaat dat ook unattended?
Daarnaast werkt de overheid echt wel met een OTAP straat en dat gaat per definitie niet unattended.
29-10-2024, 10:35 door Anoniem
Door _R0N_: 2 kwetsbaarheden van 2022, kom op dat moet een jaar later toch geen probleem meer kunnen zijn.
De Italiaanse Post heeft een vet Exchange/windows updateprobleem anders hadden ze het natuurlijk al lang gedaan. Het is blijkbaar software van hele slechte kwaliteit.
29-10-2024, 10:48 door Anoniem
Door _R0N_:
Door Anoniem: Je zou verwachten dat er voor 9 ton wel iemand te vinden is die de Exchange updates durft te installeren, of is dat echt zo'n drama waar niemand zijn handen aan wil branden?

Nee, het is juist heel simpel maar veel stropdassen willen eerst door 10 brandende hoepels springen.

Exchange updates gaan hier al 10 jaar unattended.
Ja heel simpel: https://learn.microsoft.com/en-us/exchange/troubleshoot/client-connectivity/exchange-security-update-issues
29-10-2024, 11:08 door Bitje-scheef
Door Anoniem: Je zou verwachten dat er voor 9 ton wel iemand te vinden is die de Exchange updates durft te installeren, of is dat echt zo'n drama waar niemand zijn handen aan wil branden?

Ja zou je verwachten. Tenzij ze een monsterachtige custom koppeling/applicatie hebben en geen support. Dat komt nog wel eens voor. Soms moeilijk in te schatten.
29-10-2024, 12:18 door Anoniem
Door Anoniem:
Door _R0N_:
Door Anoniem: Je zou verwachten dat er voor 9 ton wel iemand te vinden is die de Exchange updates durft te installeren, of is dat echt zo'n drama waar niemand zijn handen aan wil branden?

Nee, het is juist heel simpel maar veel stropdassen willen eerst door 10 brandende hoepels springen.

Exchange updates gaan hier al 10 jaar unattended.
Ja heel simpel: https://learn.microsoft.com/en-us/exchange/troubleshoot/client-connectivity/exchange-security-update-issues
Dit is incorrect en nee, het is helaas niet simpel.

Er zijn verschillende updates voor Exchange: security updates en Cumulative Updates.
Security updates komen alleen uit voor de laatste twee CU updates. Je moet dus ook CU updates doorvoeren anders zijn er geen security updates te installeren.

CU updates zijn complex en vereisen dat je eerst de release notes doorneemt gezien het een volledige vervanging is van de Exchange installatie. Zie voor een realistische procedure: https://practical365.com/how-to-install-exchange-server-2019-cumulative-updates/

Binnen veel organisaties vereist de laatste CU zelfs herconfiguratie van de interne loadbalancer (SSL offloading wordt niet meer ondersteund). Zeggen dat het 'simpel' is, is volledig incorrect. Lees het volgende artikel en claim het nog maar eens:
https://practical365.com/exchange-server-extended-protection/

Security updates zijn inderdaad automatisch te installeren maar is echt niet zonder risico. Regelmatig zijn er bug waardoor Exchange niet meer opkomt. Enkele voorbeelden:
https://www.techzine.eu/news/security/117976/windows-and-exchange-servers-crash-after-march-2024-update/
https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-fix-for-windows-server-crashes/

Exchange is een draak van een product dat echt zijn leeftijd laat zien.
On-premise wordt verder ook totaal niet meer ontwikkeld door MS (al meer dan 5 jaar). Alle aandacht gaat naar EXO.

Je kan verder ook amper beheerders vinden die er nog iets van snappen. De on-premise generatie (waar ik onder val) gaat langzaam met pensioen of is Microsoft simpelweg zat en gaat wat anders doen.

Nog maar een jaartje en dan zijn er eindelijk volledig vanaf (EOL 2025).
29-10-2024, 18:59 door Anoniem
Door Anoniem:
Door _R0N_:
Door Anoniem: Je zou verwachten dat er voor 9 ton wel iemand te vinden is die de Exchange updates durft te installeren, of is dat echt zo'n drama waar niemand zijn handen aan wil branden?

Nee, het is juist heel simpel maar veel stropdassen willen eerst door 10 brandende hoepels springen.

Exchange updates gaan hier al 10 jaar unattended.
Heb jij aandelen of ben je gewoon fan van een multinational? want hier klopt werkelijk niks van. Ik las toch regelmatig "Microsoft reportedly advised administrators via personal message to uninstall the latest update" https://www.techzine.eu/news/security/117976/windows-and-exchange-servers-crash-after-march-2024-update/ Gaat dat ook unattended?
Daarnaast werkt de overheid echt wel met een OTAP straat en dat gaat per definitie niet unattended.
Of gewoon een goede architectuur? Gewoon meerdere Exchange servers draaien, die onderling repliceren?
29-10-2024, 19:00 door Anoniem
Door Anoniem:
Door Anoniem:
Door _R0N_:
Door Anoniem: Je zou verwachten dat er voor 9 ton wel iemand te vinden is die de Exchange updates durft te installeren, of is dat echt zo'n drama waar niemand zijn handen aan wil branden?

Nee, het is juist heel simpel maar veel stropdassen willen eerst door 10 brandende hoepels springen.

Exchange updates gaan hier al 10 jaar unattended.
Ja heel simpel: https://learn.microsoft.com/en-us/exchange/troubleshoot/client-connectivity/exchange-security-update-issues
Dit is incorrect en nee, het is helaas niet simpel.

Er zijn verschillende updates voor Exchange: security updates en Cumulative Updates.
Security updates komen alleen uit voor de laatste twee CU updates. Je moet dus ook CU updates doorvoeren anders zijn er geen security updates te installeren.

CU updates zijn complex en vereisen dat je eerst de release notes doorneemt gezien het een volledige vervanging is van de Exchange installatie. Zie voor een realistische procedure: https://practical365.com/how-to-install-exchange-server-2019-cumulative-updates/

Binnen veel organisaties vereist de laatste CU zelfs herconfiguratie van de interne loadbalancer (SSL offloading wordt niet meer ondersteund). Zeggen dat het 'simpel' is, is volledig incorrect. Lees het volgende artikel en claim het nog maar eens:
https://practical365.com/exchange-server-extended-protection/

Security updates zijn inderdaad automatisch te installeren maar is echt niet zonder risico. Regelmatig zijn er bug waardoor Exchange niet meer opkomt. Enkele voorbeelden:
https://www.techzine.eu/news/security/117976/windows-and-exchange-servers-crash-after-march-2024-update/
https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-fix-for-windows-server-crashes/

Exchange is een draak van een product dat echt zijn leeftijd laat zien.
On-premise wordt verder ook totaal niet meer ontwikkeld door MS (al meer dan 5 jaar). Alle aandacht gaat naar EXO.

Je kan verder ook amper beheerders vinden die er nog iets van snappen. De on-premise generatie (waar ik onder val) gaat langzaam met pensioen of is Microsoft simpelweg zat en gaat wat anders doen.

Nog maar een jaartje en dan zijn er eindelijk volledig vanaf (EOL 2025).
Er komt volgens mij gewoon nog een versie die je zelf kunt hosten in je eigen datacenter.
Gisteren, 14:15 door Anoniem
Door Anoniem:
Door Anoniem:
Door _R0N_:
Door Anoniem: Je zou verwachten dat er voor 9 ton wel iemand te vinden is die de Exchange updates durft te installeren, of is dat echt zo'n drama waar niemand zijn handen aan wil branden?

Nee, het is juist heel simpel maar veel stropdassen willen eerst door 10 brandende hoepels springen.

Exchange updates gaan hier al 10 jaar unattended.
Heb jij aandelen of ben je gewoon fan van een multinational? want hier klopt werkelijk niks van. Ik las toch regelmatig "Microsoft reportedly advised administrators via personal message to uninstall the latest update" https://www.techzine.eu/news/security/117976/windows-and-exchange-servers-crash-after-march-2024-update/ Gaat dat ook unattended?
Daarnaast werkt de overheid echt wel met een OTAP straat en dat gaat per definitie niet unattended.
Of gewoon een goede architectuur? Gewoon meerdere Exchange servers draaien, die onderling repliceren?
Ja joh nog meer werk en allemaal tegelijk naar de verdommenis. Het is zoals anoniem al zei een draak van een product met daarnaast ook nog eens lage kwaliteit software (niet meer opkomen na een update). Wij hebben een koppeling met EXO en soms duurt het meer dan een dag voordat interne mail aankomt! Waar het blijft hangen is onduidelijk, men wil er niet eens meer naar kijken, als mijn prive mail (gmail, freedom etc) maar wel snel werkt heb ik er geen last van.
Gisteren, 14:21 door Anoniem
Door Anoniem:
Door Anoniem:
Door _R0N_:
Door Anoniem: Je zou verwachten dat er voor 9 ton wel iemand te vinden is die de Exchange updates durft te installeren, of is dat echt zo'n drama waar niemand zijn handen aan wil branden?

Nee, het is juist heel simpel maar veel stropdassen willen eerst door 10 brandende hoepels springen.

Exchange updates gaan hier al 10 jaar unattended.
Ja heel simpel: https://learn.microsoft.com/en-us/exchange/troubleshoot/client-connectivity/exchange-security-update-issues
Dit is incorrect en nee, het is helaas niet simpel.

Er zijn verschillende updates voor Exchange: security updates en Cumulative Updates.
Security updates komen alleen uit voor de laatste twee CU updates. Je moet dus ook CU updates doorvoeren anders zijn er geen security updates te installeren.

CU updates zijn complex en vereisen dat je eerst de release notes doorneemt gezien het een volledige vervanging is van de Exchange installatie. Zie voor een realistische procedure: https://practical365.com/how-to-install-exchange-server-2019-cumulative-updates/

Binnen veel organisaties vereist de laatste CU zelfs herconfiguratie van de interne loadbalancer (SSL offloading wordt niet meer ondersteund). Zeggen dat het 'simpel' is, is volledig incorrect. Lees het volgende artikel en claim het nog maar eens:
https://practical365.com/exchange-server-extended-protection/

Security updates zijn inderdaad automatisch te installeren maar is echt niet zonder risico. Regelmatig zijn er bug waardoor Exchange niet meer opkomt. Enkele voorbeelden:
https://www.techzine.eu/news/security/117976/windows-and-exchange-servers-crash-after-march-2024-update/
https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-fix-for-windows-server-crashes/

Exchange is een draak van een product dat echt zijn leeftijd laat zien.
On-premise wordt verder ook totaal niet meer ontwikkeld door MS (al meer dan 5 jaar). Alle aandacht gaat naar EXO.

Je kan verder ook amper beheerders vinden die er nog iets van snappen. De on-premise generatie (waar ik onder val) gaat langzaam met pensioen of is Microsoft simpelweg zat en gaat wat anders doen.

Nog maar een jaartje en dan zijn er eindelijk volledig vanaf (EOL 2025).
Je reactie is voor ene _R0N_ bedoeld want ik (anoniem) had een linkje toegevoegd dat sarcastisch was bedoeld. Ik heb ook exchange moeten onderhouden en ben er al lang geleden mee gestopt (merkte dat het ten koste van mijn humeur ging). Deze software zet zichzelf ook uit als het vindt dat de licentie niet klopt (bv standaard ipv enterprise of gewoon ineens onbekend blijkt te zijn door een bug)
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.