Angriff auf Microsoft Exchange entwickelt sich zur globalen Krise

[o1] dahoood am 08.03. 10:51
+5 -
"Exchange" und das Drumherum sollte zur kritischen Infrastruktur gezählt werden. Man stelle sich mal einen Totalausfall für eine paar Tage vor...
[re:1] 1ST1 am 08.03. 16:44
+1 -6
@dahoood: Was bringt diese Hochstufung? Bekommt man dann Unterstützung von dem ßeiber-Battalion der Bundeswehr?
[o2] Link am 08.03. 11:01
+22 -
"Es gibt zwar von Microsoft ein Sicherheitsupdate, doch das müssen die betroffenen Firmen und Institutionen selbst installieren."
Tja, entweder sie installieren es oder bestättigen mal wieder, dass sie aus WannaCry und den vielen, vielen anderen Malwarewellen, die nur durch das Nichteinspielen von Updates möglich waren, immer noch nichts gelernt haben.
[o3] DON666 am 08.03. 11:03
+9 -
Tja, genau deswegen existieren Sicherheitspatches. Man sollte die nur halt auch mal installieren...

Oh, Link war schneller, sorry.
[re:1] tueftler42 am 08.03. 20:32
+1 -1
@DON666: Sicherheitspatches installieren, wo kommen wir denn da hin xD.
[re:2] Doso am 08.03. 23:37
+2 -
@DON666: Problem an der Geschichte war das es eine Zero Day Lücke ist. Ergo am 02.03 Morgens wurde scheinbar unser Server besucht, aber die Patches und derste Infos gab es erst in der Nacht auf den 03.03. Selbst wenn du SOFORT gepatcht hattest war die Wahrscheinlich hoch das du kompromittiert wurdest :(
[o4] feinstein am 08.03. 11:21
+ -7
Ich warte ja noch auf den Titanic-Moment in der IT. Noch ist es nicht soweit.
[o5] mh0001 am 08.03. 11:50
+6 -6
Tja, keine Updates, kein Mitleid. Selbst Schuld, wer einen solchen Server betreibt und sich dann so wenig kümmert, dass nicht mal die dringendsten Updates zeitnah eingespielt werden.
[re:1] humpix am 08.03. 12:33
+3 -2
@mh0001: Ja, wenns nur immer nur so einfach wäre. Schonmal ein Exchange CU in einer großen Umgebung installiert? Wundert mich nicht das innerhalb von dem Zeitrahmen so viele Systeme ungepatcht sind...
[re:1] Raivenstar am 08.03. 12:36
+2 -2
@humpix: Die Sicherheitspatches, um die es in diesem Artikel geht, sind stinknormale Windows Updates.
[re:1] endlos_schleife am 08.03. 23:16
+2 -1
@Raivenstar: schon richtig, aber dazu muss die exchange umgebung im vorfeld auf einem bestimmten CU stand sein und hier muss evlt. noch eine neue .net framework version installiert werden sowie im worst case noch eine anstehende schemaerweiterung
[re:1] rallef am 11.03. 16:20
+ -
@endlos_schleife: Tja... Wirklich blöd wenn das System nicht auf einem aktuellen Stand ist. Es sollte dann in keinem Fall mehr ans Netz gelassen werden, was wiederum für den Zweck kontraproduktiv ist..
[re:2] 0711 am 08.03. 12:41
+1 -
@humpix: Ja, wo soll das Problem liegen?

Von dem abgesehen dass es abseits des Patches diverse Mitigationen gibt.
[re:3] jann0r am 08.03. 13:28
+2 -
@humpix: Wir haben zwar keinen Cluster o.ä. aber bei uns hat das Update ne knappe Std. gedauert, danach war alles wieder in Ordnung.
[re:1] Driv3r am 08.03. 14:16
+ -
@jann0r: Jap. Aber lieber ne Stunde investieren als viele Tage ärger.
[re:2] IHateMondays am 08.03. 14:17
+ -
@jann0r: Bei uns wurde auch verteilt "es muss ein wichtiges Update installiert werden, Emailempfang- und sendung können im Laufe des Vormittages mal kurz gestört sein". Fertig.
[re:3] humpix am 08.03. 14:29
+ -
@jann0r: Versteht mich nicht falsch, von der aktuellen CU auf den Patch ist kein Problem. Aber viele bleiben eine Weile auf einer CU - da bin ich auch gleich mal ne Woche beschäftigt. Und wenn ich vorher testen muss mit allen Systeme dahinter dauerts wesentlich länger. Die Info kam irgendwo letzte Woche breit an die Öffentlichkeit. Da wird das dann schon sportlich wenn man nicht auf dem letzten Level ist.
[re:1] donald2603 am 08.03. 18:35
+ -
@humpix: ich habe auch mal einen Exchange administriert. Immer wenn MS eine neue Major-Version released hat, habe ich eine Nachtschicht eingelegt und am nächsten Tag war das Ding live. Wir haben das Ding aber auch im Standard betrieben, daher gab es da nicht so viel zu testen.
[re:2] Joyrider am 08.03. 21:56
+4 -
@mh0001: So einen Kommentar kann nur jemand schreiben der vom Thema keine (oder viel zu wenig) Ahnung hat. Wenn man sich nur mal den zeitlichen Zusammenhang zwischen Veröffentlichung der Patches und der ersten Angriffswellen anschaut sollte sofort klar sein, dass der Spruch "keine Updates, kein Mitleid. Selbst Schuld [..]" in diesem Zusammenhang einfach Käse ist. Denn man hatte teilweise gar keine Chance, die Updates vor Beginn der Angriffswellen einzuspielen. Zumindest dann nicht, wenn man nicht 24/7/365 vor seinen Kisten hockt, eine komplette Umgebung zum Testen bereitstehen hat und dann auch noch weiß, worauf man dann achten muss um das Ergebnis zu beurteilen.
Dann gibt es leider auch immer Abhängigkeiten, weshalb man zB nicht immer auf dem aktuellsten CU unterwegs sein kann.

Auf >allen< Exchangeservern (bzw. den Firewalls davor), auf die ich Zugriff habe, sind die ersten Einschläge innerhalb von 15min zu sehen, wenige Stunden nach Veröffentlichung von KB5000871.

Also erzähl doch bitte, wie man das hätte verhindern wollen? Wie kann man hier nicht "selbst Schuld" sein und sich dann damit dein Mitleid verdienen? :-D
[re:3] Doso am 08.03. 23:38
+1 -
@mh0001: Lücke wurde aktiv breitflächig ausgenutzt bevor es Infos und Patches gab.
[o6] Rob Otter am 08.03. 14:47
+ -
"Microsoft hatte zunächst keine Hinweise darauf, dass auch Privatkunden angegriffen wurden." - Wundert mich nicht wirklich, welcher Privatkunde betreibt schon einen Exchange-Server? Dürften die wenigsten sein, und die paar sind dann auch interessiert und werden sich rechtzeitig kümmern.
[re:1] Bautz am 08.03. 20:58
+ -2
@Rob Otter: outlook.com ist auch Exchange. Also wohl doch einige.
[re:2] fabian86 am 09.03. 13:40
+ -
@Rob Otter: Definitiv sehr viele, wir sogar als KMU mit knapp 200 Mitarbeiter auf 5 Firmen verteilt(eine Gruppe und 4 unter AG)
[re:1] larsh am 09.03. 23:48
+1 -
@fabian86: Was haben KMU mit Privatkunden zu tun?
[o7] legalxpuser am 08.03. 15:05
+2 -4
Aber komisch .....es ist SOFORT China was diese Lücke genüsslich nutzt und natürlich für ein und dasselbe Ziel.... Wirtschaftsspionage...sie wollen die Nr. 1 sein, sie wollen das "bessere" System haben. Wenn hier nicht mal bald ernstere Töne angeschlagen werden sehe ich schwarz....
[re:1] 1ST1 am 08.03. 16:49
+ -
@legalxpuser: Man hat sicherlich Hinweise, dass eine chinesische Gruppe dahinter steckt. Das könnten z.B, die für die Angriffe benutzen Server sein, bei manchen weiß man einfach, wer dahinter steckt. Oder es sind bestimmte Verhaltensmuster, oder Hinweise im Programmcode des Virus, usw. Diese Hinweise werden uns aber nicht auf die Nase gebunden, denn was wir darüber aus öffentlichen Quellen wissen, wissen auch die Chinesen, um ihre Methoden dann zu verbessern.
[re:2] wieselding am 08.03. 16:50
+1 -
@legalxpuser: dafür ist es doch schon zu spät. Der Chinese lacht sich eins und hier denken immer noch 90% dass die nix anderes können als kopieren. Und das ist das Problem, sie haben das british Empire Anno knips kopiert.
[re:3] nemesis1337 am 09.03. 02:49
+ -
@legalxpuser: Die Attributierung ist in der Regel BS und eher Propaganda. Da auch Altenheime angegriffen werden, denke ich, dass es sich um breitere ungezieltere Angriffe handelt, um z.B. spaeter erpressen zu koennen.
[o9] analogkaese am 08.03. 18:58
+ -
Man sollte gerade kleinen Unternehmen, die nicht so professionell in der IT aufgestellt sind, sagen, dass es nicht reicht einfach Windows Update auszuführen und Patches zu installieren, bis keinerlei Updates mehr gefunden werden. Es benötigt schon einen gewissen CU-Stand der jew. Exchange-Version, damit das klappt. Ein Exchange 2016 beispielsweise benötigt mindestens ein Cummulative Update auf CU18 oder CU19, um dann über Windows Update überhaupt erst das KB5000871 finden zu können.
[re:1] rldml am 08.03. 19:48
+1 -
@analogkaese: Du hast Recht.

Aber dennoch zwei Einwände:

1. Hotfix KB5000871 installiert man nicht per Windows Update. Davor warnt der zugehörige KB-Artikel ausdrücklich - warum auch immer MS das auf diesem Weg anbietet...

2. Alle Unternehmen < 100 Mitarbeiter sollten sich überlegen, ob sie ernsthaft noch einen OnPremise-Exchange benötigen. Ich verstehe zwar den Wunsch, den Kram lieber lokal im eigenen Serverraum zu haben, aber der Aufwand bei Updates ist einfach sehr groß. Wenn man als kleines Unternehmen unbedingt auf die Cloud verzichten will (oder muss), sind Alternativen zu Exchange zu empfehlen.
[10] Milrei am 08.03. 20:14
+ -4
Wer hat einen Exchange denn heute noch in der dmz....
[11] Mike500 am 08.03. 22:35
+ -
Ich betreue eine Apotheke in gewissen IT-Fragen, mit denen sie deren eigentliche IT-Firma nicht belästigen wollen. Diese eigentlich IT-Firma (L...-F...) hat bei allen PCs die automatischen Updates ausgeschaltet. Windows-Updates werden höchstens halbjährlich (!) per CD/DVD (!) verteilt, nach ausführlicher Prüfung bei denen, ob danach auch alle speziellen Programme für den Apothekenbetrieb noch korrekt laufen. Für den Schutz der PCs wird sich auf eine Sicherheitssoftware verlassen, sowas wie Kaspersky Endpoint Security.

Als ich dazu kam, wurde überall mit einem uralten, ungepatchten Internet Explorer gesurft. Das ist eine einzige Katastrophe, und die bezahlen teuer Geld für den Service. Die IT-Firma betreut hier sehr viele Apotheken. Ich war schon mehrere Male mit denen am Telefon und habe einige Dinge hinterfragt, es hieß immer, das Wichtigste ist, dass die ganzen Programme korrekt laufen. Ja ok, das ist sehr wichtig, aber deswegen muss man nicht ein Jahr lang an Sicherheitsupdates vorenthalten...
[re:1] Doso am 08.03. 23:42
+1 -
@Mike500: Die IT Firma bietet vermutlich genau das was die Apotheken haben wollen. Und wenn diese Apotheken dies entsprechend priorisiert haben dann ist halt die POS Software wichtiger als die Updates.
[12] rasie am 09.03. 16:27
+ -
Gott sei dank is heute Patchday.
oder

Zugangsdaten vergessen?

Jetzt kostenlos Registrieren!
< Zurück Startseite
 
Desktop-Version anzeigen
Hoch © 2023 WinFuture Impressum Datenschutz Cookies