Microsoft kijkt naar fix voor automatisch geïnstalleerde overbodige Exchange-mitigaties
Microsoft onderzoekt of automatisch geïnstalleerde mitigaties op Exchange-servers die overbodig zijn weer automatisch kunnen worden verwijderd, aangezien dat nu handmatig moet gebeuren wat een probleem voor systeembeheerders kan zijn. Tevens gaat het techbedrijf beheerders van Exchange-servers mogelijk waarschuwen wanneer er automatisch een mitigatie op hun server wordt geïnstalleerd.
Vorige week rolde Microsoft een nieuwe Cumulative Update voor Exchange uit die onder ander de Emergency Mitigation-service op servers installeert. Deze service zal automatisch en zonder tussenkomst van de eigenaar mitigaties op kwetsbare Exchange-servers installeren. Het gaat hier niet om beveiligingsupdates, maar mitigaties die misbruik van bekende en actief aangevallen kwetsbaarheden voorkomen. Dit moet Exchange-servers tegen aanvallen beschermen. De feature staat standaard ingeschakeld, maar is door beheerders uit te schakelen.
Microsoft stelt dat het naar aanleiding van de uitrol van de Exchange Emergency Mitigation-service "opbouwende kritiek" van klanten kreeg. Zo moeten automatisch geïnstalleerde mitigaties handmatig door Exchange-beheerders worden verwijderd na het installeren van de betreffende beveiligingsupdate. "Het installeren van een beveiligingsupdate die het gemitigeerde probleem verhelpt verwijdert niet de mitigatie van de server. In plaats daarvan moet een beheerder eerst de beveiligingsupdate installeren en dan de mitigaties verwijderen die niet langer van toepassing zijn", aldus Microsoft.
Het techbedrijf zegt dat het begrijpt dat het een belasting voor systeembeheerders is om iets handmatig te verwijderen dat automatisch op de server is geïnstalleerd. Daarnaast is het een probleem om uit te zoeken welke mitigaties kunnen worden verwijderd en welke niet. Daarom kijkt Microsoft nu of het overbodige Exchange-mitigaties die automatisch zijn geïnstalleerd ook automatisch weer kan verwijderen, bijvoorbeeld bij de installatie van de betreffende beveiligingsupdate.
Melding
Een ander kritiekpunt is dat systeembeheerders willen weten wanneer er zonder hun tussenkomst een mitigatie op de Exchange-server is geïnstalleerd. Microsoft stelt dat dit in de logs wordt vermeld. "Maar we beseffen ook de noodzaak voor beheerders om in real-time te weten wanneer een mitigatie is geïnstalleerd of niet", aldus Microsoft. Dat gaat daarom kijken of het beheerders kan waarschuwen voor de installatie van een mitigatie.
Afsluitend laat het techbedrijf weten dat bij een aantal organisaties de Exchange Emergency Mitigation-service standaard stond uitgeschakeld in plaats van ingeschakeld. Er wordt nu onderzocht hoe dit kon gebeuren. In de tussentijd is het mogelijk om de service handmatig in te schakelen.
Ongelooflijk dat beheerders dit allemaal pikken. Dat krijg je als je geen eigenaar bent en alleen maar gebruikers rechten hebt.
Wel is MS hier bezig een probleem op te pakken dat eigenlijk ICT technisch al lang (elders) opgelost is: remote configuratie en patch management (a la puppet, salt, ansible etc.).
Het zal wel weer aan mij liggen maar dit is toch gewoon amateuristisch geknoei dat je niet van een grote 'professionele' softwarefabrikant zou verwachten? Dus komt het wéér uit bij de eerdere vaststelling dat men het onderhoud van de spaghetticodebouwwerken niet meer in de hand heeft en het van kwaad tot erger gaat met de misstanden, slechte fixes, fixes die andere problemen veroorzaken en moeten worden gefixt met nieuwe fixes of zelfs worden teruggetrokken.
Ongelooflijk dat beheerders dit allemaal pikken. Dat krijg je als je geen eigenaar bent en alleen maar gebruikers rechten hebt.
Interessante reactie. Feitelijk, zoals ik gelezen heb zijn de mitigaties relatief klein en ook eenvoudig terug te draaien door een block, rollback of hoe je het noemen wilt. Kijk jij met deze blik ook naar antivirus pattern updates? Het proces is niet veel anders. De mitigaties op Exchange lijken me vooral URL rewrite gerelateerd te zijn.
Ik ben benieuwd, komende maanden hoe zich dit gaat ontwikkelen, want ik vind het wel degelijk een interessante ontwikkeling. Zou denk ik goed zijn als ze bij patch publicaties mitigate obsolete id's mee gaan sturen en inderdaad wellicht automarisch laten removen na een patch install. Je weet hoe dat tegenwoordig gaat met ontwikkeling.
Ongelooflijk dat beheerders dit allemaal pikken. Dat krijg je als je geen eigenaar bent en alleen maar gebruikers rechten hebt.
Interessante reactie. Feitelijk, zoals ik gelezen heb zijn de mitigaties relatief klein en ook eenvoudig terug te draaien door een block, rollback of hoe je het noemen wilt. Kijk jij met deze blik ook naar antivirus pattern updates? Het proces is niet veel anders. De mitigaties op Exchange lijken me vooral URL rewrite gerelateerd te zijn.
Ik ben benieuwd, komende maanden hoe zich dit gaat ontwikkelen, want ik vind het wel degelijk een interessante ontwikkeling. Zou denk ik goed zijn als ze bij patch publicaties mitigate obsolete id's mee gaan sturen en inderdaad wellicht automarisch laten removen na een patch install. Je weet hoe dat tegenwoordig gaat met ontwikkeling.
Het elke dag updaten van deze patterns hoort dus bij de functionele werking van het pakket. Dat is iets heel anders dan.
Hier gaat het om de integriteit van de software zelf en dat MS "achterbaks" probeert te fixen zonder beheerders te informeren.
Wanneer worden softwarebedrijven eens aansprakelijk gesteld als ze bewust onveilige designkeuzes maken/laten zitten of wanneer ze bewust beveiligingsopties achter enterprise licenties en/of abonnementsvormen hangen?
Zo blijftt er een perverse prikkel voor bedrijven zoals Microsoft om geen verantwoordelijkheid te hoeven nemen: de klant betaald toch wel en het marktfalen op de OS/Cloud markt zorgt ervoor dat consumenten vaak minder mobiel zijn om naar een andere softwarepakket over te stappen.
Tijd om ze in ieder geval eens te gaan opsplitsen, zou al heel wat schelen als de software en cloud onderdelen van verschillende eigenaren zijn, dan kunnen ze daar tenminste minder misbruik van maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.