[2.Update 16.03.]: Microsoft hat das vierteljährliche Exchange-Update für Exchange Server 2016 und Exchange Server 2019 zum Download bereitgestellt. Diese CUs enthalten Korrekturen für vom Kunden gemeldete Probleme sowie alle zuvor veröffentlichten Sicherheitsupdates.
- Exchange Server 2019 Cumulative Update 9 (KB4602570)
- Exchange Server 2016 Cumulative Update 20 (KB4602569)
- Alle weiteren Informationen und die Downloadlinks findet ihr auf dieser Seite.
[Update 16.03.2021]: Microsoft hat ein neues One-Click Mitigation Tool veröffentlicht, um Kunden zu helfen, die keine dedizierten Sicherheits- oder IT-Teams haben.
Damit will Microsoft die CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 abmildern. Ob die Lücken ganz behoben werden können, ist wiederum fraglich.
Die Anleitung und auch den Download, der auf GitHub bereitsteht, könnt ihr hier in Ruhe nachlesen.
[Original 13.03.21]: Der Angriff auf die Exchange Server weltweit durch Hacker hat Microsoft schwer in Bedrängnis gebracht. Zwischenzeitlich hieß es sogar, dass Microsoft von dem Leck wusste, aber nichts unternommen hat.
Wie es aussieht, kam es zu dem Massenangriff durch ein internes Leck, wie das WallStreetJurnal nun berichtet. Der Fehler selber war Microsoft bekannt und wollte zum Patchday am 9. März dann das Update herausgeben. Vorab hatte man die Daten innerhalb der Mapp-Partner (Microsoft Active Protections Program) unterrichtet. Auch die „Proof of Concept“-Angriffscode wurde an Antivirenfirmen und andere Sicherheitspartner verteilt. Beides geschah am 23.Februar.
Die Angriffswelle, die etwa am 28. Februar begann, weisen Ähnlichkeiten genau mit diesem „Proof of Concept“-Angriffscode auf. Daher war Microsoft nun gezwungen, den Patch schon vorab am 2. März zu verteilen. Das hatte aber nicht mehr ausgereicht, um das Lauffeuer aufzuhalten.
Der Angriff selber wurde von Hackergruppen aus China gestartet, die dann Computer, auf denen Microsofts E-Mail-Software Exchange läuft infiziert haben. Ob China innerhalb der Mapp-Partner informiert wurde, wollte ein offizieller Microsoft-Vertreter aber nicht bestätigen, oder abstreiten.
Microsoft wird nun also auf Spurensuche gehen. Das Problem ist nun nicht mehr aufzuhalten. Aber durch die Ermittlungen kann man ein erneutes Leck aber eingrenzen. Mehr zum Thema auch direkt bei Microsoft. Und nun auch in Deutsch.
Ich hatte diese Woche einen sehr arbeitsreiche Woche.
Wie schon auf Twitter geschrieben, ist diese Lücke nur die Spitze des Eisbergs namens Exchange.
Es darf einfach nicht sein dass ein Server mit so gravierenden Rechen einfach weiterläuft wenn er seit 45 Monaten keine Updates mehr gesehen hat.
Zumal diese alle 3 Monate erscheinen und nicht per Windows Update kommen.
Ähnliches hatte ich gestern auch.
Office 2010 RTM ohne Updates und Service Packs. Grund, der link zur Aktivierung von anderen Microsoft Updates in 2008R2 funktioniert nicht mehr. Web Zertifikat abgelaufen, redirect zum notwendigen ActiveX funktioniert nicht mehr.
WU offline Tool 10.9 kommt auch nicht weiter.
Natürlich kann man jetzt sagen, das ist nicht Microsoft“s Schuld. Aber sie machen es einem mit ihrem Abschaltwahn für noch supportete Produkte (Exchange 2013,SQL 2014) und broken links überall maximal kompliziert. Insbesondere nun mit dem neuen CMS.
Dann kommen die unsäglichen defaults noch dazu. Xmal wurde schon angekündigt tls 1.2 Produktübergreifend für Schannel, IE, PowerShell und dotnet 3.5 und 4.x zu aktivieren.
Forcieren wäre richtig.
Oder nehmen wir mal NTLMv1 und LM. Ältere die durchaus NTLMv2 können sind nachträglich nicht mehr hochgestuft worden.
Oder auch cipher und ciphersuites bei Schannel, IIS etc pp
Bei Server 2016 ist auch heute noch SMB1 per default an.
Ich kann noch lange Beispiele finden aus diesem Morast der „Kompatibilität“.
Selbst Server 2022 hat hier nur Verbesserung im Default für IE. alles andere ist immer noch unsicher by default.
gepostet mit der Deskmodder.de-App für Android
Was Microsoft da macht, bzw. nicht macht ist unverantwortlich. Nur in der Cloud gibt es geregelte und angekündigte Abschaltung unsicherer Features.
On premises nur mehr als halbherzig (siehe Optional Features in Windows 10) oder nur in Eigenunteresse wie z. B. Entfernung von Remote-FX bei Hyper-V aus Sicherheitsgründen, oder aussperren von altem TLS.
Microsoft ist auch nicht ganz allein. Es hat ewig gedauert bis WhatsApp ältere Clients ohne TLS 1.2 aussperrte.
Minimalanforderung Android 4.4?
Schien ein Problem darzustellen.
gepostet mit der Deskmodder.de-App für Android
Oh und Fritzboxen supporten immer noch flächendeckend SMB2/3. Schon gar nicht die vom Provider.
gepostet mit der Deskmodder.de-App für Android
wieso schreibst du „Support noch SMB 2/3“?
Das ist doch aktuell und gut so.
Du meinst wohl eher: Supporten noch SMB 1. Denn das ist stark veraltet und gehört weg.
gepostet mit der Deskmodder.de-App für Android
Danke Inge das „nicht“ fehlt.
gepostet mit der Deskmodder.de-App für Android
Wie du schon erkannt hast, ist ein Grund der Krankheit, dass nicht nur Exchange Server unnötige vielen Rechte hat und im AD als Zeitbombe in der Mehrheit der Konfigurationen läuft.
Wenn man ein nackiges AD mit Coreserver für Effizienz und Sicherheit um Exchange auf Coreserver erweitert mit den Defaults, dann ist nichts mehr sicher und effizient.
Daran sollte MS dringend arbeiten. Am besten wäre für die Übergangszeit, dass Exchange in eine separate Domain/Forrest kommt und nur dass aus der Domaine an Rechte bekommt, was modern und sicher ist.
Mindestens 99 von 100 mir bekannten ADs funktionieren so, dass die Kontrolle über den Exchange ähnlich fatal ist, wie die Kontrolle über den DC.
das Passwort ist: unbekannt
muhaha
hm :\
Gute Nachrichten: Microsoft will mit Intel und anderen Unternehmen zusammenarbeiten, um komplette Internet-Überwachung und Inhaltskontrolle zu ermöglichen. Da zum Glück ein inkompetentes Unternehmen wie MS involviert ist wird daraus nichts werden.
Bitte mal ein Link und nicht so doofe aussagen.