image

Microsoft waarschuwt voor ernstige kwetsbaarheden in Exchange

dinsdag 13 april 2021, 19:18 door Redactie, 35 reacties

Microsoft waarschuwt organisaties voor twee kritieke kwetsbaarheden in Exchange Server 2013, 2016 en 2019 waardoor een aanvaller kwetsbare servers op afstand kan overnemen. Voor zover bekend is er nog geen misbruik van de beveiligingslekken gemaakt, maar Microsoft houdt er wel rekening mee dat dit zal gebeuren.

De kwetsbaarheden, aangeduid als CVE-2021-28480 en CVE-2021-28481, zijn beide op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. De Amerikaanse geheime dienst NSA ontdekte en rapporteerde de beveiligingslekken aan Microsoft. Onderzoekers van het techbedrijf hadden de kwetsbaarheden echter onafhankelijk van de NSA ook al gevonden. Verdere details over de lekken zijn niet door Microsoft gegeven.

Organisaties worden opgeroepen om de beveiligingsupdates meteen te installeren, mede gezien de aanvallen die de afgelopen maanden op Exchange-servers plaatsvonden. "Recente gebeurtenissen hebben aangetoond dat securityhygiëne en patchmanagement belangrijker dan ooit tevoren zijn", aldus Microsoft. "Het is echt belangrijk dat onze klanten de laatste versie van de software gebruiken die up-to-date beveiligingsupdates heeft." Organisaties die van Exchange Online gebruikmaken zijn al beschermd en hoeven geen verdere actie te ondernemen.

Image

Reacties (35)
13-04-2021, 20:29 door Anoniem
sjeezus alweer ?!
13-04-2021, 20:40 door Anoniem
Een 9,8 beoordeeld. Natuurlijk een tijdje door de NSA misbruikt geweest. De officieuze achterdeur die elke maand wordt vervangen door een nieuwe.
13-04-2021, 23:23 door Anoniem
Door Anoniem: sjeezus alweer ?!
Ja en volgende maand weer. Zie Pwn2Own
14-04-2021, 02:56 door Anoniem
Wie vertrouwt de software van Microsoft nog? Ik bedoel, echt vertrouwen? Echt blindelings vertrouwen?
14-04-2021, 08:48 door Anoniem
In gerelateerd nieuws: het KNMI meldt gladde ijsvlakten op de zuidpool.
14-04-2021, 09:14 door Anoniem
Man man man je gaat toch overwegen van Exchange af te stappen met al die onzin....
14-04-2021, 09:24 door _R0N_
Solarwinds zuigt

Daar gaat MS nog jaren problemen door krijgen
14-04-2021, 09:27 door Anoniem
Door _R0N_: Solarwinds zuigt

Daar gaat MS nog jaren problemen door krijgen
Waar haal je uit dat dit gerelateerd is aan het Solarwinds drama?
14-04-2021, 10:18 door CorChando
Door Anoniem: Man man man je gaat toch overwegen van Exchange af te stappen met al die onzin....
En dan? Alternatieven zijn er weinig, en de alternatieven die er zijn hebben net zo goed last van hackers. Zeker als ze meer gebruikt worden, dan wordt het erg aantrekkelijk.
14-04-2021, 10:22 door Anoniem
"Recente gebeurtenissen hebben aangetoond dat securityhygiëne en patchmanagement belangrijker dan ooit tevoren zijn"

Ja, maar ook dat dit niets uitmaakt omdat wat je vandaag patched morgen al weer lek blijkt te zijn.
Ik denk dat er een paar dingen veel belangrijker zijn, maar die laat Microsoft lekker liggen:

- zorg dat het Exchange systeem niet met systeemrechten draait, in ieder geval niet het hele systeem maar alleen een zo klein mogelijk gedeelte ervan.
- zorg dat een Exchange hybrid server geen inkomende poorten vanaf internet nodig heeft (dwz uitsluitend naar buiten connect)

Je kunt wel alles bij de klanten leggen maar de root cause zit in het ontwerp, en daar heeft Microsoft de hand in, niet de klant.
14-04-2021, 10:28 door CorChando
Door Anoniem:
Door Anoniem: sjeezus alweer ?!
Ja en volgende maand weer. Zie Pwn2Own

Grote kans dat deze gevonden lekken dezelfde zijn of op zijn minst overlap hebben.
14-04-2021, 10:37 door Anoniem
Door Anoniem: Wie vertrouwt de software van Microsoft nog? Ik bedoel, echt vertrouwen? Echt blindelings vertrouwen?

Geen enkele software is blindelings te vertrouwen. Dat wil niet zeggen dat je die software niet moet gebruiken. Dat is helaas de staat van software engineering in de wereld. Engineers en andere IT mensen zijn trouwens ook niet blindelings te vertrouwen. Dat wil niet zeggen dat je niemand meer in dienst moet nemen.
14-04-2021, 11:18 door Anoniem
Het product heet toch Exchange?
14-04-2021, 11:29 door _R0N_
Door Anoniem:
Door _R0N_: Solarwinds zuigt

Daar gaat MS nog jaren problemen door krijgen
Waar haal je uit dat dit gerelateerd is aan het Solarwinds drama?


https://www.zdnet.com/article/microsoft-says-solarwinds-hackers-downloaded-some-azure-exchange-and-intune-source-code/

Mark my words.. Dit gaat nog heel lang door modderen.
14-04-2021, 12:06 door Anoniem
Gisteren was het de DNS implementatie op Linux, de afgelopen weken 2x Exchange, morgen de SSL implementatie op de Mac

Geen enkel platform is heilig. Wel is het goed dat er platforms zijn zoals Pwn2own waardoor zaken bekend worden.

Al met al wordt meer en meer duidelijk dat belangrijke data ten alle tijden encrypted opgeslagen moet worden, in rust en in transit. Want het is niet de vraag of, maar wanneer men opeens binnen staat. Zodat als dat dan gebeurt, men er nog lang niet is.
14-04-2021, 12:27 door Anoniem
Door Anoniem: Wie vertrouwt de software van Microsoft nog? Ik bedoel, echt vertrouwen? Echt blindelings vertrouwen?

Je vertrouwt toch geen enkele software van geen enkele fabrikant 100% blindelings? Ook security software moet geregeld gepatched worden wegens gevonden lekken.
14-04-2021, 13:52 door Anoniem
Hahahaha dat plaatje erbij. Zelfs Microsoft gebruikt het eigen Visio niet meer maar is teruggevallen op MS Paint. Heerlijk.
14-04-2021, 14:02 door Anoniem
Door Anoniem: sjeezus alweer ?!

Ja source code is toch gestolen, en google heeft zijn beleid aangepast, ze zijn druk bezig de laatste restjes naar de cloud te forceren.
14-04-2021, 14:04 door Anoniem
Door Anoniem: Wie vertrouwt de software van Microsoft nog? Ik bedoel, echt vertrouwen? Echt blindelings vertrouwen?

Religieuze mensen.
14-04-2021, 14:06 door Anoniem
Door _R0N_:
Door Anoniem:
Door _R0N_: Solarwinds zuigt

Daar gaat MS nog jaren problemen door krijgen
Waar haal je uit dat dit gerelateerd is aan het Solarwinds drama?


https://www.zdnet.com/article/microsoft-says-solarwinds-hackers-downloaded-some-azure-exchange-and-intune-source-code/

Mark my words.. Dit gaat nog heel lang door modderen.

Inderdaad security by obscurity is niet van deze tijd, als ze netjes hadden gewerkt de afgelopen 10 jaar, was er waarschijnlijk minder te vinden.
14-04-2021, 14:07 door Anoniem
Door Anoniem: Gisteren was het de DNS implementatie op Linux, de afgelopen weken 2x Exchange, morgen de SSL implementatie op de Mac

Geen enkel platform is heilig. Wel is het goed dat er platforms zijn zoals Pwn2own waardoor zaken bekend worden.

Al met al wordt meer en meer duidelijk dat belangrijke data ten alle tijden encrypted opgeslagen moet worden, in rust en in transit. Want het is niet de vraag of, maar wanneer men opeens binnen staat. Zodat als dat dan gebeurt, men er nog lang niet is.

Kan dat dan met Exchange?
14-04-2021, 14:38 door _R0N_
Door Anoniem:
Door _R0N_:
Door Anoniem:
Door _R0N_: Solarwinds zuigt

Daar gaat MS nog jaren problemen door krijgen
Waar haal je uit dat dit gerelateerd is aan het Solarwinds drama?


https://www.zdnet.com/article/microsoft-says-solarwinds-hackers-downloaded-some-azure-exchange-and-intune-source-code/

Mark my words.. Dit gaat nog heel lang door modderen.

Inderdaad security by obscurity is niet van deze tijd, als ze netjes hadden gewerkt de afgelopen 10 jaar, was er waarschijnlijk minder te vinden.

Closed source is zo gek nog niet, worden lekken minder snel misbruikt.
14-04-2021, 16:26 door Anoniem
Door _R0N_:
Inderdaad security by obscurity is niet van deze tijd, als ze netjes hadden gewerkt de afgelopen 10 jaar, was er waarschijnlijk minder te vinden.

Closed source is zo gek nog niet, worden lekken minder snel misbruikt.

Bij closed source worden developers lui, juist vanwege de redenatie dat deze minder snel misbruikt wordt. Maar als je weet wat een fuzzer is, of nog sterker een binary-decompiler, dan kun je bedenken dat closed source je niet beschermd tegen aanvallen, of dat een aanvaller minder mogelijkheden heeft.
14-04-2021, 17:13 door Anoniem
Door Anoniem:
Al met al wordt meer en meer duidelijk dat belangrijke data ten alle tijden encrypted opgeslagen moet worden, in rust en in transit. Want het is niet de vraag of, maar wanneer men opeens binnen staat. Zodat als dat dan gebeurt, men er nog lang niet is.
Dat is natuurlijk onzin want als je data encrypted opslaat moet die altijd ook decrypted kunnen worden dus "als men binnen is" dan is dat geen beveiliging. Het is ook geen beveiliging tegen ransomware.
14-04-2021, 19:14 door karma4 - Bijgewerkt: 14-04-2021, 19:14
Door Anoniem: - zorg dat het Exchange systeem niet met systeemrechten draait, in ieder geval niet het hele systeem maar alleen een zo klein mogelijk gedeelte ervan.
- zorg dat een Exchange hybrid server geen inkomende poorten vanaf internet nodig heeft (dwz uitsluitend naar buiten connect) ....
Voor elk systeem en OS is aan te raden apart geisoleerde serviceaccounts te gebruiken. Afschermen van verkeer naar buiten/binnen, dat is zeer verstandig. Klein probleempje, Het kost inspanning nadenken een project plan.

Zodra iets tijd/geld kost dan staat het meteen onder druk. Te duur, te moeilijk, gebruiksonvriendelijk.
Draai maar onder: root , system account, dan werkt het tenminste volgens de boardroom.
Het is niet voor niets dat outsourcing, de cloud, en gebruik van hippe tools met de gangbare beloftes altijd voorop staan.,
14-04-2021, 21:34 door Anoniem
Door karma4:
Door Anoniem: - zorg dat het Exchange systeem niet met systeemrechten draait, in ieder geval niet het hele systeem maar alleen een zo klein mogelijk gedeelte ervan.
- zorg dat een Exchange hybrid server geen inkomende poorten vanaf internet nodig heeft (dwz uitsluitend naar buiten connect) ....
Voor elk systeem en OS is aan te raden apart geisoleerde serviceaccounts te gebruiken. Afschermen van verkeer naar buiten/binnen, dat is zeer verstandig. Klein probleempje, Het kost inspanning nadenken een project plan.

Zodra iets tijd/geld kost dan staat het meteen onder druk. Te duur, te moeilijk, gebruiksonvriendelijk.
Draai maar onder: root , system account, dan werkt het tenminste volgens de boardroom.
Het is niet voor niets dat outsourcing, de cloud, en gebruik van hippe tools met de gangbare beloftes altijd voorop staan.,

ja maar dit gaat niet over Linux of open source, dit gaat over jouw favoriete software fabrikant.
die interesseert het kennelijk geen bal hoe veilig de klant is, bovenstaande maatregelen zijn nog steeds niet geimplementeerd en men komt met dooddoeners als "securityhygiëne en patchmanagement belangrijker dan ooit tevoren" in plaats van de hand in eigen boezem te steken!
in de Linux/open source wereld ken ik vrijwel geen services die (zeker na de initiele opstart) als root draaien, en Exchange doet dat wel. Blamage.
15-04-2021, 08:09 door Anoniem
Door Anoniem: Wie vertrouwt de software van Microsoft nog? Ik bedoel, echt vertrouwen? Echt blindelings vertrouwen?
Ik. Ik vertrouw er volledig op dat het zo lek is als een mandje.
Tot op heden wordt dat vertrouwen nooit beschaamd.
15-04-2021, 09:20 door _R0N_
Door Anoniem: Gisteren was het de DNS implementatie op Linux, de afgelopen weken 2x Exchange, morgen de SSL implementatie op de Mac

Geen enkel platform is heilig. Wel is het goed dat er platforms zijn zoals Pwn2own waardoor zaken bekend worden.

Al met al wordt meer en meer duidelijk dat belangrijke data ten alle tijden encrypted opgeslagen moet worden, in rust en in transit. Want het is niet de vraag of, maar wanneer men opeens binnen staat. Zodat als dat dan gebeurt, men er nog lang niet is.

Vergeet niet de wekelijkse gaten in Gitlab en Openssl
Als je er vanuit gaat dat iets veilig is heb je oogkleppen op, niets is veilig.
Er is maar 1 stuk software 100% bugvrij verklaard en dat is de originele code van Pacman, daar hadden ze 20+ jaar over gedaan om dat vast te stellen.
15-04-2021, 09:30 door _R0N_
Door Anoniem:
Door _R0N_:
Inderdaad security by obscurity is niet van deze tijd, als ze netjes hadden gewerkt de afgelopen 10 jaar, was er waarschijnlijk minder te vinden.

Closed source is zo gek nog niet, worden lekken minder snel misbruikt.

Bij closed source worden developers lui, juist vanwege de redenatie dat deze minder snel misbruikt wordt. Maar als je weet wat een fuzzer is, of nog sterker een binary-decompiler, dan kun je bedenken dat closed source je niet beschermd tegen aanvallen, of dat een aanvaller minder mogelijkheden heeft.

Uiteraard is het niet heilig maar er kan niet stiekem een backdoor toegevoegd worden aan de source zoals je bij open source al meermaals hebt gezien.
Voor beide zijn er voor en nadelen te noemen maar uiteindelijk moet e er vanuit gaan dat alle software bugs bevat die misbruikt kunnen worden en dat alle patches weer nieuwe bugs activeren/maken.

In dit geval is het een lek in Exchange, wat in de laatste 10 jaar niet echt heel vaak voorgekomen is als je bedenkt hoe complex en groot het pakket is.
Iedereen schopt wel tegen Microsoft maar vergeet niet dat het een bedrijf is dat heel veel software maakt en dat de kans op bugs dus ook groter is dan wanneer je 1 stuk software onderhoudt.
15-04-2021, 09:46 door Anoniem
Door _R0N_:
In dit geval is het een lek in Exchange, wat in de laatste 10 jaar niet echt heel vaak voorgekomen is als je bedenkt hoe complex en groot het pakket is.
Ja ik kan me de tijd nog wel herrinneren dat ze Exchange voor het eerst aan internet gingen hangen en wat er toen losbrak...
Iedereen schopt wel tegen Microsoft maar vergeet niet dat het een bedrijf is dat heel veel software maakt en dat de kans op bugs dus ook groter is dan wanneer je 1 stuk software onderhoudt.
Ja alleen gaat dit niet over "bugs" maar over "stommiteiten in het ontwerp".
En, nadat die naar boven zijn gekomen, daar niks aan doen.
Het is toch raar dat een dergelijk complex en groot pakket (je zegt het zelf!) in zijn geheel als root draait?
En het is toch ook raar dat als je het integreert met de cloud, iets waar ze zelf de hele tijd over op de grote trom slaan, vervolgens die cloud service NAAR JOUW ON-PREMISE SERVER TOE connect, in plaats van omgekeerd?
En dan ook nog eens op dezelfde poort/service als waar je je webmail op draaide? Vanaf een lijst van subnetten waar de honden geen brood van lusten?
Dat zijn dingen die je geen bugs kunt noemen, dat is gewoon dom ontwerp. Dat moeten ze zo snel mogelijk oplossen zodat bedrijven hun server niet van buitenaf vulnerable hoeven op te stellen, en ook zodat eventuele bugs in het pakket niet tot local system escalatie leiden.
Wellicht kun je een klein bedrijfje met 10 man in dienst de hand boven het hoofd houden dat ze wellicht nog even geen capaciteit konden vrijmaken om dit snel om te gooien, maar een bedrijf van het kaliber Microsoft wat al 30 jaar aan dat product werkt en er goud geld mee verdient (dit is de grote cash-cow, aan die Windows OEM licenties verdienen ze weinig) dat kan hier voor niet wegduiken, die zijn hier gewoon verantwoordelijk voor. Dan nemen ze maar wat meer programmeurs aan en betalen de topmensen een miljoen minder, dat valt hen niet eens op.
15-04-2021, 11:02 door Anoniem
Door karma4: Voor elk systeem en OS is aan te raden apart geisoleerde serviceaccounts te gebruiken. Afschermen van verkeer naar buiten/binnen, dat is zeer verstandig. Klein probleempje, Het kost inspanning nadenken een project plan.
Wat is eigenlijk de reden dat je dat onder Windows zelf moet regelen en dat dat kennelijk lastig is, terwijl het onder Linux zo is dat je juist moeite moet doen om een degelijke server niet onder een apart serviceaccount te draaien? Dat wordt namelijk automatisch aangemaakt als je webservers, mailservers en dergelijke installeert.
15-04-2021, 12:45 door walmare - Bijgewerkt: 15-04-2021, 12:57
Door _R0N_:
Door Anoniem:
Door _R0N_:
Inderdaad security by obscurity is niet van deze tijd, als ze netjes hadden gewerkt de afgelopen 10 jaar, was er waarschijnlijk minder te vinden.

Closed source is zo gek nog niet, worden lekken minder snel misbruikt.

Bij closed source worden developers lui, juist vanwege de redenatie dat deze minder snel misbruikt wordt. Maar als je weet wat een fuzzer is, of nog sterker een binary-decompiler, dan kun je bedenken dat closed source je niet beschermd tegen aanvallen, of dat een aanvaller minder mogelijkheden heeft.

Uiteraard is het niet heilig maar er kan niet stiekem een backdoor toegevoegd worden aan de source zoals je bij open source al meermaals hebt gezien.
Voor beide zijn er voor en nadelen te noemen maar uiteindelijk moet e er vanuit gaan dat alle software bugs bevat die misbruikt kunnen worden en dat alle patches weer nieuwe bugs activeren/maken.

In dit geval is het een lek in Exchange, wat in de laatste 10 jaar niet echt heel vaak voorgekomen is als je bedenkt hoe complex en groot het pakket is.
Iedereen schopt wel tegen Microsoft maar vergeet niet dat het een bedrijf is dat heel veel software maakt en dat de kans op bugs dus ook groter is dan wanneer je 1 stuk software onderhoudt.
Er zit voor de gebruiker geen enkel voordeel aan closed source. Je kan of mag het niet kopiëren, bestuderen, aanpassen etc. Daarnaast zit het vol met backdoors voor iedereen die er voor wil betalen. Kwetsbaarheden worden onder de pet gehouden zodat de NSA genoeg tijd kan snuffelen.
Exchange is inderdaad een heel slecht en ook nog eens duur product. Beheerders weten niet eens wat voor poorten ze open moeten doen als er een frontend in de DMZ staat en dus zetten ze alles maar open. IMAP dichtzetten weten ze wel te vinden want dat is geen Microsoft (blijkbaar zit dat in de cursus). Omdat alles met adminrechten draait wordt ook de hele server gecompromitteerd. Het is een slachtveld geworden zo erg zelfs dat de FBI meent te moeten ingrijpen.
16-04-2021, 20:27 door Anoniem
Door Anoniem:
Door Anoniem: Gisteren was het de DNS implementatie op Linux, de afgelopen weken 2x Exchange, morgen de SSL implementatie op de Mac

Geen enkel platform is heilig. Wel is het goed dat er platforms zijn zoals Pwn2own waardoor zaken bekend worden.

Al met al wordt meer en meer duidelijk dat belangrijke data ten alle tijden encrypted opgeslagen moet worden, in rust en in transit. Want het is niet de vraag of, maar wanneer men opeens binnen staat. Zodat als dat dan gebeurt, men er nog lang niet is.

Kan dat dan met Exchange?

Nee, natuurlijk niet. Als je met geen enkele credential de datakan lezen, is het systeem onbruikbasr.
Dus er is er minstens 1. Als je daarbij kan door een hack, etc.
16-04-2021, 20:32 door Anoniem
Door Anoniem: .
- zorg dat een Exchange hybrid server geen inkomende poorten vanaf internet nodig heeft (dwz uitsluitend naar buiten connect)

Je kunt wel alles bij de klanten leggen maar de root cause zit in het ontwerp, en daar heeft Microsoft de hand in, niet de klant.

Euhm, hoe zie je dat voor je m.b.t. inkomende e-mail? Het zijn nu eenmaal.protocollen waar je als MTA aan moet voldoen. Als je zelf iets zou bedenken kan niemand meer met je communiceren...
17-04-2021, 11:34 door Anoniem
Door Anoniem:
Euhm, hoe zie je dat voor je m.b.t. inkomende e-mail? Het zijn nu eenmaal.protocollen waar je als MTA aan moet voldoen. Als je zelf iets zou bedenken kan niemand meer met je communiceren...
Het gaat om hybrid server, Off365 handelt dan inkomende mail af
Staat er een mailbox on-prem, dan wordt de mail doorgestuurd via een aparte connector.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.