@mh0001: Ja, wenns nur immer nur so einfach wäre. Schonmal ein Exchange CU in einer großen Umgebung installiert? Wundert mich nicht das innerhalb von dem Zeitrahmen so viele Systeme ungepatcht sind...
@humpix: Die Sicherheitspatches, um die es in diesem Artikel geht, sind stinknormale Windows Updates.
@Raivenstar: schon richtig, aber dazu muss die exchange umgebung im vorfeld auf einem bestimmten CU stand sein und hier muss evlt. noch eine neue .net framework version installiert werden sowie im worst case noch eine anstehende schemaerweiterung
@endlos_schleife: Tja... Wirklich blöd wenn das System nicht auf einem aktuellen Stand ist. Es sollte dann in keinem Fall mehr ans Netz gelassen werden, was wiederum für den Zweck kontraproduktiv ist..
@humpix: Ja, wo soll das Problem liegen?
Von dem abgesehen dass es abseits des Patches diverse Mitigationen gibt.
@humpix: Wir haben zwar keinen Cluster o.ä. aber bei uns hat das Update ne knappe Std. gedauert, danach war alles wieder in Ordnung.
@jann0r: Jap. Aber lieber ne Stunde investieren als viele Tage ärger.
@jann0r: Bei uns wurde auch verteilt "es muss ein wichtiges Update installiert werden, Emailempfang- und sendung können im Laufe des Vormittages mal kurz gestört sein". Fertig.
@jann0r: Versteht mich nicht falsch, von der aktuellen CU auf den Patch ist kein Problem. Aber viele bleiben eine Weile auf einer CU - da bin ich auch gleich mal ne Woche beschäftigt. Und wenn ich vorher testen muss mit allen Systeme dahinter dauerts wesentlich länger. Die Info kam irgendwo letzte Woche breit an die Öffentlichkeit. Da wird das dann schon sportlich wenn man nicht auf dem letzten Level ist.
@humpix: ich habe auch mal einen Exchange administriert. Immer wenn MS eine neue Major-Version released hat, habe ich eine Nachtschicht eingelegt und am nächsten Tag war das Ding live. Wir haben das Ding aber auch im Standard betrieben, daher gab es da nicht so viel zu testen.
@mh0001: So einen Kommentar kann nur jemand schreiben der vom Thema keine (oder viel zu wenig) Ahnung hat. Wenn man sich nur mal den zeitlichen Zusammenhang zwischen Veröffentlichung der Patches und der ersten Angriffswellen anschaut sollte sofort klar sein, dass der Spruch "keine Updates, kein Mitleid. Selbst Schuld [..]" in diesem Zusammenhang einfach Käse ist. Denn man hatte teilweise gar keine Chance, die Updates vor Beginn der Angriffswellen einzuspielen. Zumindest dann nicht, wenn man nicht 24/7/365 vor seinen Kisten hockt, eine komplette Umgebung zum Testen bereitstehen hat und dann auch noch weiß, worauf man dann achten muss um das Ergebnis zu beurteilen.
Dann gibt es leider auch immer Abhängigkeiten, weshalb man zB nicht immer auf dem aktuellsten CU unterwegs sein kann.
Auf >allen< Exchangeservern (bzw. den Firewalls davor), auf die ich Zugriff habe, sind die ersten Einschläge innerhalb von 15min zu sehen, wenige Stunden nach Veröffentlichung von KB5000871.
Also erzähl doch bitte, wie man das hätte verhindern wollen? Wie kann man hier nicht "selbst Schuld" sein und sich dann damit dein Mitleid verdienen? :-D
@mh0001: Lücke wurde aktiv breitflächig ausgenutzt bevor es Infos und Patches gab.