[o1] dahoood
am 08.03. 10:51
+5
-
"Exchange" und das Drumherum sollte zur kritischen Infrastruktur gezählt werden. Man stelle sich mal einen Totalausfall für eine paar Tage vor...
"Es gibt zwar von Microsoft ein Sicherheitsupdate, doch das müssen die betroffenen Firmen und Institutionen selbst installieren."
Tja, entweder sie installieren es oder bestättigen mal wieder, dass sie aus WannaCry und den vielen, vielen anderen Malwarewellen, die nur durch das Nichteinspielen von Updates möglich waren, immer noch nichts gelernt haben.
Tja, entweder sie installieren es oder bestättigen mal wieder, dass sie aus WannaCry und den vielen, vielen anderen Malwarewellen, die nur durch das Nichteinspielen von Updates möglich waren, immer noch nichts gelernt haben.
Tja, genau deswegen existieren Sicherheitspatches. Man sollte die nur halt auch mal installieren...
Oh, Link war schneller, sorry.
Oh, Link war schneller, sorry.
@DON666: Problem an der Geschichte war das es eine Zero Day Lücke ist. Ergo am 02.03 Morgens wurde scheinbar unser Server besucht, aber die Patches und derste Infos gab es erst in der Nacht auf den 03.03. Selbst wenn du SOFORT gepatcht hattest war die Wahrscheinlich hoch das du kompromittiert wurdest :(
Tja, keine Updates, kein Mitleid. Selbst Schuld, wer einen solchen Server betreibt und sich dann so wenig kümmert, dass nicht mal die dringendsten Updates zeitnah eingespielt werden.
@mh0001: Ja, wenns nur immer nur so einfach wäre. Schonmal ein Exchange CU in einer großen Umgebung installiert? Wundert mich nicht das innerhalb von dem Zeitrahmen so viele Systeme ungepatcht sind...
@humpix: Die Sicherheitspatches, um die es in diesem Artikel geht, sind stinknormale Windows Updates.
@humpix: Ja, wo soll das Problem liegen?
Von dem abgesehen dass es abseits des Patches diverse Mitigationen gibt.
Von dem abgesehen dass es abseits des Patches diverse Mitigationen gibt.
@humpix: Wir haben zwar keinen Cluster o.ä. aber bei uns hat das Update ne knappe Std. gedauert, danach war alles wieder in Ordnung.
@jann0r: Bei uns wurde auch verteilt "es muss ein wichtiges Update installiert werden, Emailempfang- und sendung können im Laufe des Vormittages mal kurz gestört sein". Fertig.
@jann0r: Versteht mich nicht falsch, von der aktuellen CU auf den Patch ist kein Problem. Aber viele bleiben eine Weile auf einer CU - da bin ich auch gleich mal ne Woche beschäftigt. Und wenn ich vorher testen muss mit allen Systeme dahinter dauerts wesentlich länger. Die Info kam irgendwo letzte Woche breit an die Öffentlichkeit. Da wird das dann schon sportlich wenn man nicht auf dem letzten Level ist.
@mh0001: So einen Kommentar kann nur jemand schreiben der vom Thema keine (oder viel zu wenig) Ahnung hat. Wenn man sich nur mal den zeitlichen Zusammenhang zwischen Veröffentlichung der Patches und der ersten Angriffswellen anschaut sollte sofort klar sein, dass der Spruch "keine Updates, kein Mitleid. Selbst Schuld [..]" in diesem Zusammenhang einfach Käse ist. Denn man hatte teilweise gar keine Chance, die Updates vor Beginn der Angriffswellen einzuspielen. Zumindest dann nicht, wenn man nicht 24/7/365 vor seinen Kisten hockt, eine komplette Umgebung zum Testen bereitstehen hat und dann auch noch weiß, worauf man dann achten muss um das Ergebnis zu beurteilen.
Dann gibt es leider auch immer Abhängigkeiten, weshalb man zB nicht immer auf dem aktuellsten CU unterwegs sein kann.
Auf >allen< Exchangeservern (bzw. den Firewalls davor), auf die ich Zugriff habe, sind die ersten Einschläge innerhalb von 15min zu sehen, wenige Stunden nach Veröffentlichung von KB5000871.
Also erzähl doch bitte, wie man das hätte verhindern wollen? Wie kann man hier nicht "selbst Schuld" sein und sich dann damit dein Mitleid verdienen? :-D
Dann gibt es leider auch immer Abhängigkeiten, weshalb man zB nicht immer auf dem aktuellsten CU unterwegs sein kann.
Auf >allen< Exchangeservern (bzw. den Firewalls davor), auf die ich Zugriff habe, sind die ersten Einschläge innerhalb von 15min zu sehen, wenige Stunden nach Veröffentlichung von KB5000871.
Also erzähl doch bitte, wie man das hätte verhindern wollen? Wie kann man hier nicht "selbst Schuld" sein und sich dann damit dein Mitleid verdienen? :-D
"Microsoft hatte zunächst keine Hinweise darauf, dass auch Privatkunden angegriffen wurden." - Wundert mich nicht wirklich, welcher Privatkunde betreibt schon einen Exchange-Server? Dürften die wenigsten sein, und die paar sind dann auch interessiert und werden sich rechtzeitig kümmern.
Aber komisch .....es ist SOFORT China was diese Lücke genüsslich nutzt und natürlich für ein und dasselbe Ziel.... Wirtschaftsspionage...sie wollen die Nr. 1 sein, sie wollen das "bessere" System haben. Wenn hier nicht mal bald ernstere Töne angeschlagen werden sehe ich schwarz....
@legalxpuser: Man hat sicherlich Hinweise, dass eine chinesische Gruppe dahinter steckt. Das könnten z.B, die für die Angriffe benutzen Server sein, bei manchen weiß man einfach, wer dahinter steckt. Oder es sind bestimmte Verhaltensmuster, oder Hinweise im Programmcode des Virus, usw. Diese Hinweise werden uns aber nicht auf die Nase gebunden, denn was wir darüber aus öffentlichen Quellen wissen, wissen auch die Chinesen, um ihre Methoden dann zu verbessern.
Man sollte gerade kleinen Unternehmen, die nicht so professionell in der IT aufgestellt sind, sagen, dass es nicht reicht einfach Windows Update auszuführen und Patches zu installieren, bis keinerlei Updates mehr gefunden werden. Es benötigt schon einen gewissen CU-Stand der jew. Exchange-Version, damit das klappt. Ein Exchange 2016 beispielsweise benötigt mindestens ein Cummulative Update auf CU18 oder CU19, um dann über Windows Update überhaupt erst das KB5000871 finden zu können.
@analogkaese: Du hast Recht.
Aber dennoch zwei Einwände:
1. Hotfix KB5000871 installiert man nicht per Windows Update. Davor warnt der zugehörige KB-Artikel ausdrücklich - warum auch immer MS das auf diesem Weg anbietet...
2. Alle Unternehmen < 100 Mitarbeiter sollten sich überlegen, ob sie ernsthaft noch einen OnPremise-Exchange benötigen. Ich verstehe zwar den Wunsch, den Kram lieber lokal im eigenen Serverraum zu haben, aber der Aufwand bei Updates ist einfach sehr groß. Wenn man als kleines Unternehmen unbedingt auf die Cloud verzichten will (oder muss), sind Alternativen zu Exchange zu empfehlen.
Aber dennoch zwei Einwände:
1. Hotfix KB5000871 installiert man nicht per Windows Update. Davor warnt der zugehörige KB-Artikel ausdrücklich - warum auch immer MS das auf diesem Weg anbietet...
2. Alle Unternehmen < 100 Mitarbeiter sollten sich überlegen, ob sie ernsthaft noch einen OnPremise-Exchange benötigen. Ich verstehe zwar den Wunsch, den Kram lieber lokal im eigenen Serverraum zu haben, aber der Aufwand bei Updates ist einfach sehr groß. Wenn man als kleines Unternehmen unbedingt auf die Cloud verzichten will (oder muss), sind Alternativen zu Exchange zu empfehlen.
Ich betreue eine Apotheke in gewissen IT-Fragen, mit denen sie deren eigentliche IT-Firma nicht belästigen wollen. Diese eigentlich IT-Firma (L...-F...) hat bei allen PCs die automatischen Updates ausgeschaltet. Windows-Updates werden höchstens halbjährlich (!) per CD/DVD (!) verteilt, nach ausführlicher Prüfung bei denen, ob danach auch alle speziellen Programme für den Apothekenbetrieb noch korrekt laufen. Für den Schutz der PCs wird sich auf eine Sicherheitssoftware verlassen, sowas wie Kaspersky Endpoint Security.
Als ich dazu kam, wurde überall mit einem uralten, ungepatchten Internet Explorer gesurft. Das ist eine einzige Katastrophe, und die bezahlen teuer Geld für den Service. Die IT-Firma betreut hier sehr viele Apotheken. Ich war schon mehrere Male mit denen am Telefon und habe einige Dinge hinterfragt, es hieß immer, das Wichtigste ist, dass die ganzen Programme korrekt laufen. Ja ok, das ist sehr wichtig, aber deswegen muss man nicht ein Jahr lang an Sicherheitsupdates vorenthalten...
Als ich dazu kam, wurde überall mit einem uralten, ungepatchten Internet Explorer gesurft. Das ist eine einzige Katastrophe, und die bezahlen teuer Geld für den Service. Die IT-Firma betreut hier sehr viele Apotheken. Ich war schon mehrere Male mit denen am Telefon und habe einige Dinge hinterfragt, es hieß immer, das Wichtigste ist, dass die ganzen Programme korrekt laufen. Ja ok, das ist sehr wichtig, aber deswegen muss man nicht ein Jahr lang an Sicherheitsupdates vorenthalten...