myGully.com - [Brisant] Zehn Hackergruppen starten Cyberangriffe auf Microsoft Exchange Server

myGully.com (https://mygully.com/index.php)

- News (https://mygully.com/forumdisplay.php?f=390)

- - [Brisant] Zehn Hackergruppen starten Cyberangriffe auf Microsoft Exchange Server (https://mygully.com/showthread.php?t=6259532)

Zehn Hackergruppen starten Cyberangriffe auf Microsoft Exchange Server

Zitat:

Die schweren Sicherheitslücken im Microsoft Exchange Server locken zahlreiche Hackergruppen an. Allein in Deutschland wurden 11.000 Server kompromittiert.

Der Angriff auf Microsoft Exchange ist einer der schwersten Cyberattacken der jüngsten Vergangenheit. Zwar hat Microsoft rasch reagiert und Patches herausgegeben, aber die Schwachstellen locken Nachahmer an und noch immer sind auf zehntausenden von Servern keine Patches installiert.

„Seit dem Tag der Veröffentlichung der Patches durch Microsoft beobachteten wir, dass immer mehr Hacker massenhaft Exchange-Server scannen und kompromittieren. Interessanterweise handelt es sich dabei durchweg um Advanced Persistent Threats (APT)-Gruppen, die für Spionagetätigkeiten berüchtigt sind. Wir sind uns sicher, dass auch andere Gruppen, beispielsweise Ransomware-Betreiber, diese Exploits für ihre Zwecke ausnutzen und auf den Zug aufspringen werden“, sagt Matthieu Faou, der die Forschungsarbeiten von ESET zu diesem Thema leitet.

Die ESET-Forscher stellten ebenfalls fest, dass einige APT-Gruppen die Schwachstellen bereits ausnutzten, bevor die Patches zur Verfügung gestellt wurden. „Wir können daher ausschließen, dass diese Gruppen einen Exploit durch Reverse Engineering von Microsoft-Updates erstellt haben“, fügt Faou hinzu.

Zu ähnlichen Erkenntnissen kommt Palo Alto Networks. Die Anzahl der nicht gepatchten Exchange-Server ging diese Woche stark zurück, als Microsoft-Kunden laut neuen Daten, die von der Palo Alto Networks Expanse-Plattform gesammelt wurden, schnell Sicherheitsupdates installierten. Das schnelle Patchen folgt Warnungen, dass Hacker vier Zero-Day-Schwachstellen in der weit verbreiteten E-Mail-Software ausnutzen.

Die Anzahl der anfälligen Server, auf denen alte Versionen von Exchange ausgeführt werden, auf denen die kürzlich veröffentlichten Sicherheitspatches nicht direkt angewendet werden können, ist laut Expanse-Internet-Scans vom 8. und 11. März um über 30% von geschätzten 125.000 auf 80.000 gesunken.

„Ich habe noch nie gesehen, dass die Sicherheitspatch-Raten für ein System so hoch sind, geschweige denn für ein System, das so weit verbreitet ist wie Microsoft Exchange“, sagte Matt Kraning, Chief Technology Officer von Cortex bei Palo Alto Networks. „Wir fordern Unternehmen, die alle Versionen von Exchange ausführen, dringend auf, davon auszugehen, dass sie kompromittiert wurden, bevor sie ihre Systeme gepatcht haben, da wir wissen, dass Angreifer diese Zero-Day-Sicherheitslücken mindestens zwei Monate lang in freier Wildbahn ausnutzten, bevor Microsoft die Patches am 2. März veröffentlichte. ”

Palo Alto Networks verwendete die Expanse-Plattform, um im Internet exponierte Server zu identifizieren, auf denen alte Versionen von Exchange ausgeführt werden, auf denen der kürzlich veröffentlichte Sicherheitspatch für die Zero-Day-Sicherheitslücken nicht direkt angewendet werden kann.

Sowohl die Schwachstellen selbst als auch der Zugriff, der durch deren Ausnutzung erreicht werden kann, sind erheblich. Es ist daher nicht überraschend, dass mehrere Angreifer versuchten und weiterhin versuchen, anfällige Systeme zu kompromittieren, bevor diese von Netzwerkadministratoren gepatcht werden. Diese Angriffe geschahen in einem noch nie dagewesenen Ausmaß.

Anhand der rekonstruierten Zeitachse ist nun klar, dass zwischen der ersten bekannten Ausnutzung dieser Schwachstelle am 3. Januar und der Veröffentlichung des Patches durch Microsoft am 2. März mindestens 58 Tage lagen. Das Aufspielen des Patches ist ein notwendiger erster Schritt, aber nicht ausreichend, wenn man bedenkt, wie lange die Schwachstelle in der freien Wildbahn war. Das Aufspielen des Patches beseitigt nicht den Zugang, den Angreifer möglicherweise bereits zu anfälligen Systemen erlangt haben. Unternehmen können sich im Leitfaden von Unit 42 für Abhilfemaßnahmen über die nötigen Schritte informieren, um sicherzustellen, dass sie ihre Exchange Server ordnungsgemäß abgesichert haben.

In der zweiten Woche nach Bekanntwerden der Schwachstellen gibt es erste Schätzungen, dass die Zahl der betroffenen Unternehmen in die Zehntausende geht. Dies stellt damit die Auswirkungen des jüngsten SolarStorm-Angriffs auf die Lieferkette in Bezug auf die Zahl der Opfer und die geschätzten Kosten für die Beseitigung der Schwachstellen weltweit in den Schatten. Angesichts der Bedeutung dieses Ereignisses veröffentlichte Unit 42 eine Zeitleiste des Angriffs, die auf den umfangreichen Recherchen zu den derzeit verfügbaren Informationen und der direkten Erfahrung bei der Abwehr solcher Angriffe basiert. Während sich die Situation weiterentwickelt, bittet Unit 42 auch andere Forschungsteams, ihre Erkenntnisse mitzuteilen, damit sich die Cybersicherheitscommunity so schnell wie möglich ein vollständiges Bild mache kann.

Laufende Untersuchungen zeigen, dass diese Schwachstellen von mehreren Bedrohungsgruppen ausgenutzt werden. Es ist nicht neu, dass hochqualifizierte Angreifer neue Schwachstellen in verschiedenen Produkt-Ökosystemen ausnutzen. Die Art und Weise, wie diese Angriffe durchgeführt werden, um die Authentifizierung zu umgehen und damit unberechtigten Zugriff auf E-Mails zu erhalten und Remote Code Execution (RCE) zu ermöglichen, ist jedoch besonders perfide.

Unit 42 geht davon aus, dass die Angriffe, die diese Schwachstellen ausnutzen, sich nicht nur fortsetzen, sondern auch an Umfang zunehmen werden. Dies wird sich wahrscheinlich auch in vielfältigeren Angriffen mit unterschiedlichen Motiven äußern, wie etwa die Infektion und/oder Verteilung von Ransomware. Aufgrund der Tatsache, dass aktive Angriffe verschiedener Bedrohungsgruppen, die diese Schwachstellen ausnutzen, andauern, ist es zwingend erforderlich, die betroffenen Systeme nicht nur zu patchen, sondern auch die Anleitungen zu befolgen, die Unit 42 in einem früheren Remediation Blog beschrieben hat.

Die Forscher des IT-Sicherheits-Herstellers ESET haben mehr als zehn verschiedene APT-Gruppen (Advanced Persistent Threats), welche die Schwachstellen derzeit verstärkt ausnutzen, um E-Mail-Server zu kompromittieren und an Unternehmensdaten zu gelangen. Die Bedrohung ist also nicht auf die chinesische Hafnium-Gruppe beschränkt, wie bislang vermutet wurde. ESET identifizierte weltweit rund 5.000 E-Mail-Server von Unternehmen und Regierungseinrichtungen, die kompromittiert wurden. Die meisten Ziele der Hackergruppen liegen in Deutschland. Die Telemetrie der Security-Experten zeigte das Vorhandensein von sogenannten Webshells. Diese bösartigen Programme oder Skripte ermöglichen die Fernsteuerung eines Servers über einen Webbrowser. Die Installation der von Microsoft bereitgestellten Sicherheits-Updates ist davon ungeachtet zwingend erforderlich.

Der Einsatz sogenannter Endpoint Detection und Response Lösungen (EDR-Lösungen) hätte in vielen Fällen den Diebstahl von Unternehmensdaten eingrenzen bzw. verhindern können. „Mit Hilfe von EDR-Lösungen, wie beispielsweise ESET Enterprise Inspector, wären Administratoren frühzeitig auf verdächtige Aktivitäten aufmerksam gemacht worden. So hätte der Abfluss von Unternehmensdaten trotz Ausnutzung des Sicherheitslücke frühzeitig registriert werden können, um diesen durch entsprechende Maßnahmen zu unterbinden“, erklärt Michael Schröder, Security Business Strategy Manager bei ESET Deutschland.

Um den Sicherheitsstatus beurteilen zu können, sollten Exchange-Server auf die folgenden Erkennungen überprüft werden:

JS/Exploit.CVE-2021-26855.Webshell.A

JS/Exploit.CVE-2021-26855.Webshell.B

ASP/Webshell

ASP/ReGeorg

Administratoren wird geraten, nach Webshells und weiteren bösartigen Aktivitäten zu suchen und diese umgehend zu entfernen. Anmeldedaten sollten umgehend geändert werden.

„Der Vorfall ist eine sehr gute Erinnerung daran, dass komplexe Anwendungen wie Microsoft Exchange oder SharePoint nicht zum Internet hin offen sein sollten“, rät Matthieu Faou.

APT-Gruppen und ihre Verhaltensmuster

Tick – kompromittierte den Webserver eines Unternehmens mit Sitz in Ostasien, das IT-Dienstleistungen anbietet. Wie im Fall von LuckyMouse und Calypso hatte die Gruppe wahrscheinlich schon vor Veröffentlichung der Patches Zugang zu einem Exploit.

LuckyMouse – infizierte den E-Mail-Server einer Regierungsbehörde im Nahen Osten. Diese APT-Gruppe verfügte wahrscheinlich mindestens einen Tag vor Veröffentlichung der Patches über einen Exploit, als dieser noch ein Zero-Day war.

Calypso – griff die E-Mail-Server von Regierungsstellen im Nahen Osten und in Südamerika an. Die Gruppe hatte wahrscheinlich Zugang zu dem Exploit als Zero-Day. In den folgenden Tagen griffen die Calypso-Betreiber weitere Server von Regierungsstellen und Unternehmen in Afrika, Asien und Europa an.

Websiic – zielte auf sieben E-Mail-Server ab, die Unternehmen (in den Bereichen IT, Telekommunikation und Technik) in Asien und einer staatlichen Einrichtung in Osteuropa gehören.

Winnti Group – kompromittierte die E-Mail-Server eines Ölunternehmens und einer Firma für Baumaschinen in Asien. Die Gruppe hatte wahrscheinlich schon vor Veröffentlichung der Patches Zugang zu einem Exploit.

Tonto Team – attackierte die E-Mail-Server eines Beschaffungsunternehmens und eines auf Softwareentwicklung und Cybersicherheit spezialisierten Beratungsunternehmens, beide mit Sitz in Osteuropa.

ShadowPad activity – infizierte die E-Mail-Server eines Softwareentwicklungsunternehmens mit Sitz in Asien und eines Immobilienunternehmens mit Sitz im Nahen Osten. ESET entdeckte eine Variante der ShadowPad-Backdoor, die von einer unbekannten Gruppe eingeschleust wurde.

Operation“ Cobalt Strike – zielte auf rund 650 Server, hauptsächlich in den USA, Deutschland, Großbritannien und anderen europäischen Ländern, nur wenige Stunden nach Veröffentlichung der Patches.

IIS-Backdoors – ESET beobachtete IIS-Backdoors, die über die bei diesen Kompromittierungen verwendeten Webshells auf vier E-Mail-Servern in Asien und Südamerika installiert wurden. Eine der Backdoors ist öffentlich als Owlproxy bekannt.

Mikroceen – kompromittierte den Exchange-Server eines Versorgungsunternehmens in Zentralasien, einer Region, die typischerweise Ziel dieser Gruppe ist.

DLTMiner – ESET entdeckte den Einsatz von PowerShell-Downloadern auf mehreren E-Mail-Servern, die zuvor über die Exchange-Schwachstellen angegriffen wurden. Die Netzwerkinfrastruktur, die bei diesem Angriff verwendet wurde, steht in Verbindung mit einer zuvor gemeldeten Coin-Mining-Kampagne.
WEBINAR

Quelle: [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Zitat:

http://https://tubestatic.orf.at/sta...15.5953736.jpg

Angriff auf Exchange-Server überlastet IT-Sicherheitsbranche

In Österreich gibt es zuwenig Ressourcen, um die vielen akut gefährdeten Maschinen schnell zu sichern. Dabei zählt jetzt jede Stunde, denn die ersten Verschlüsselungstrojaner sind nach Bekanntwerden der Sicherheitslücken in Rekordzeit aufgetaucht.
Auf Facebook teilen Auf Twitter teilen

Von [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Kaum waren die Warnungen ausgesprochen, da trafen sie schon ein. Am Freitag wurden laut Microsoft bereits erste Verschlüsselungstrojaner auf durch Sicherheitslücken gefährdeten Exchange-Mailservern gesichtet. Davor hatten staatliche Akteure nach dem Auffliegen ihres Spionageangriffs weltweit mehr als 100.000 dieser Server mit Hintertüren ausgestattet, die seitdem für Cyberkriminelle offenstehen.

Deutschland steht offenbar im Zentrum, etwa 2.000 Server dürften in Österreich betroffen sein und müssten möglichst schnell gesichert werden. „Leider mussten auch wir Kunden vertrösten und Aufträge absagen, die gesamte Branche ist voll ausgelastet“, sagte Joe Pichlmayr von der IT-Sicherheitsfirma Ikarus zu ORF.at. „Um einen solchen Flächenbrand sofort zu löschen, sind alle Cyber-Feuerwehren Österreichs zusammen viel zu klein“.

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]
Diese drastisch formulierten Tweets vom Freitag Abend stammen vom Präsidenten des [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]. Das BSI hatte davor schon angesichts der großen Verbreitung der Sicherheitslücke in Deutschland Alarmstufe Rot ausgerufen. Dass Unternehmen von offizieller Seite aufgerufen werden, ihre IT-Infrastruktur im Zweifelsfall vom Internet zu trennen, dürfte überhaupt ein Novum sein.

Webshell gefällig? Bittesehr!

Zitat:

Am Mittwoch hatte sich das ganze Ausmaß der Bedrohung durch [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]. Kurz nach den Warnungen tauchten die ersten Verschlüsselungstrojaner auf.

Mit der Metapher „Hintertüren“ sind in diesem Fall sogenannte Webshells gemeint, das sind einfach die Standard-Kommandozeilenprogramme, mit denen Webmaster ihre Server administrieren. Für Dritte aus dem Internet dürfen diese Kommandozeilenprogramme auf einem Server keinesfalls zugänglich sein, denn darüber werden Angriffs-S*****s gestartet. Die vermutlich chinesischen Akteure - die Gruppe wird von Microsoft „Hafnium“ genannt - hatten nach dem Auffliegen ihres Spionageangriffs auf Ziele in Südostasien und Afrika wahllos auf verwundbaren Exchange-Servern weltweit solche Webshells platziert. Der prozentuell weitaus größte Teil dieser Server steht in Deutschland.

„Es lässt sich zwar binnen Minuten recht einfach feststellen, ob eine solche Webshell von Dritten auf einem Server installiert ist“, so Pichlmayr zu ORF.at, „aber damit ist es nicht getan. Es braucht dazu eine forensische Untersuchung des Servers, nämlich ob die Shell bereits benutzt wurde, um Schadprogramme versteckt zu installieren.“ Das nun binnen kürzester Zeit auf einer solchen Zahl von Servern gleichzeitig durchzuführen, übersteige ganz einfach die personellen Gesamtressourcen in der Sicherheitsbranche, so Pichlmayr weiter.

[BMU.DE
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...] ist zum Beispiel seit Donnerstag nur noch telefonisch erreichbar. Davor waren nach Medienberichten die Europäische Bankaufsicht, Firmen und Behörden in mehreren Ländern betroffen. Unklar in allen diesen Fällen ist, ob nur die Webshell der Hafnium-Gruppe aufgefunden wurde, oder ob im Rahmen der ursprünglichen Spionagekampagne angegriffen worden war. (siehe unten)

Die Mühen der Updates

Zitat:

Acht Monate nach dem Auffliegen ähnlich schwerer Sicherheitslücken waren im Oktober 2020 [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...].

Die Nachfrage war nicht direkt nach dem Bekanntwerden vier schwerer Lücken am 2. März, sondern zeitversetzt sprunghaft angestiegen. Erst die großflächige Verseuchung der Server mit Webshells, die tags darauf völlig unerwartet begonnen hatte, sorgte für die gebührende Hektik. Die wohl größte Gefahr geht davon aus, dass Exchange-Server standardmäßig über weitgehende Rechte in Microsofts Active Directory verfügen, mit dem das gesamte Netz verwaltet wird. Damit ist es hochwahrscheinlich, dass Angreifer von Exchange aus ziemlich problemlos das gesamte Netz hinter diesen Mailservern übernehmen können.

Zudem sind in der Regel eine Anzahl anderer Services eingebunden. Da Microsoft aufgrund der Gefährlichkeit der Schwachstelle kein kumulatives, sondern ein einzelnes, vorgezogenes Sicherheits-Update veröffentlicht hat, können diese Patches nur eingespielt werden, wenn die Exchange-Systeme bis dahin auf dem letzten Stand gehalten wurden. Und das ist eben bei sehr vielen Servern nicht der Fall, zudem sind in der Regel auch Services, woe Zeitplaner, Instant Messaging usw. in Microsoft Exchange eingebunden. Das heißt, das Update wird eine zeitraubende Angelegenheit.

ESET
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...], deren Sicherheitssoftwares auf vielen Servern weltweit verbreitet sind, geht hervor, warum man im Deutschen Bundesamt für Sicherheit in der Informationsindustrie so nervös ist. Deutschland ist laut ESET das prozentual von Webshells weitaus am heftigsten betroffene Land.

Was vor der Webshell-Pandemie passierte

Zitat:

Ende September hatten Verschlüsselungserpresser die Uhrenmacher Swatch Group, eine französische Großreederei, [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...].

Laut der Sicherheitsfirma ESET hatte eine vor allem auf Südostasien und Afrika abgezielte, konzertierte Spionagekampagne diese vier bis dahin unbekannten Sicherheitslücken in Microsoft Exchange instrumentalisiert. Der erste Angriff begann bereits in der ersten Jännerwoche und wird der Gruppe Hafnium zugeschrieben, die Microsoft als Mastermind dieses Generalangriffs einstuft. Dann wurden weitere, ähnlich gelagerte Angriffe anderer Gruppen identifiziert. Das Sicherheitsunternhmen Volexity sowie zwei weitere Firmen hatten Microsoft da bereits mehrfach kontaktiert und darauf hingewiesen, dass Zero-Day-Exploits dafür benützt würden.

Microsoft hatte weder bestätigt, dass es sich um bis dahin unbekannte schwere Sicherheitslücken handelt, noch Warnungen an seine Kunden ausgeschickt. Die großangelegte Spionagekampagne ging auch im Februar völlig ungestört weiter, zuletzt hatten ESET und andere aus der Sicherheitsbranche insgesamt zehn verschiedene (!) Gruppen von Akteuren ausgemacht, die allesamt dieselben Lücken nützen. Etwa die Hälfte davon war bereits vorher mehrmals durch Spionagetätigkeit aufgefallen, wie etwa „Winnti“, „Calypso“ oder „Tick“, die alle China zugerechnet werden.

Näherkommende Einschläge

Warum diese großangelegte, verdeckte Spionageaktion auf anderen Kontinenten urplötzlich in einen öffentlichen Flächenangriff auf den Westen umschlug, lässt auf eine Eskalation im Cyberspace schließen, in die auch China einbezogen ist. Warum weltweit die allermeisten, mit Webshells angriffsreif gemachte Server aber in Deutschland stehen, ist derzeit völlig unklar. Für Österreich bedeutet das jedenfalls nichts Gutes, denn die Anzeichen mehren sich, dass auch die kleine, neutrale Alpenrepublik in diese Auseinandersetzung der großen Cybermächte mithineingezogen wird. Im Verlauf eines Jahres gab es einen Spionageangriff auf das Außenministerium, dann stand vom ELAK-System angefangen die halbe kritische Infrastruktur Österreichs wochenlang offen. Im Herbst waren acht Monate nach dem Bekanntwerden fataler Sicherheitslücken immer noch 3.000 Windows-Server ungesichert.

Joe Pichlmayr
https://tubestatic.orf.at/static/ima...yr.5941185.jpg

Und so sieht Joe Pichlmayr, einer der erfahrensten IT-Sicherheitstechniker des Landes, die Republik derzeit dafür aufgestellt: „Wir sind auf solche Vorfälle nicht ausreichend vorbereitet und ganz besonders, wenn es ein so breiter Angriff wie der aktuelle ist. Jetzt müssen Kunden vertröstet oder abgewiesen werden, weil die Branche noch viel zu klein ist, um auf die ständig steigenden Bedrohungen angemessen reagieren zu können. Nirgendwo in Österreich gibt es dafür auch nur annähernd ausreichende Budgets, seit mehr als einem Jahrzehnt werden viel zu wenige Sicherheitstechniker ausgebildet. Alle Regierungen haben die steigenden Probleme bis jetzt ignoriert. Es ist jetzt überfällig, dass der österreichische Staat in die Gänge kommt, denn alle diese hochgefährlichen Vorfälle wurden nur irgendwie und auch mit Glück von jeweils lächerlich kleinen Häuflein von Sicherheitstechnikern wegimprovisiert.“

Update 2021 03 15 Durch ein falsch gesetztes Anführungszeichen wurden die letzten beiden Sätze oberhalb des Fotos versehentlich Joe Pichlmayr in den Mund gelegt. Über alle drei dabei aufgezählten Vorfälle des Jahres 2020 hatte ORF.at in insgesamt acht großen Artikeln ausführlich berichtet.

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]. Sachdienliche Informationen, Metakritiken et al. sind über [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Und warum ist D besonders betroffen? Weil hier ein Server im Keller als "sicher" gilt.

Es gibt mittlerweile Updates:

Zitat:

Sicherheitsupdate für Exchange Server 2013 Service Pack 1 – Neue CUs für Exchange 2019 und 2016 (16.3.2021)
Publiziert am 17. März 2021 von Günter Born

[English]Microsoft hat die Nacht eine Sicherheitsinformation zur Revision seiner Sonder-Updates für ältere CUs für den On-Premises Microsoft Exchange Servern (die bereits aus dem Support gefallen sind) veröffentlicht. Konkret hat Microsoft ein Sicherheitsupdate für das aus dem Support gefallene Microsoft Exchange Server 2013 Service Pack 1 freigegeben. Ergänzung: Zudem wurden CU 9 für Exchange Server 2019 und CU 20 für Exchange Server 2016 veröffentlicht.

Update für Exchange Server 2013 SP 1

Für den Exchange Server 2013 Service Pack 1 wurde gemäß nachfolgendem Sicherheitshinweis ein neues Sicherheitsupdate freigegeben.

************************************************** **************
Title: Microsoft Security Update Releases
Issued: March 16, 2021
************************************************** **************

Summary
=======

The following CVEs have undergone a major revision increment:

Critical CVEs

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Important CVEs

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Publication information
===========================

– Microsoft Exchange Server Remote Code Execution Vulnerability
– See preceding list for links
– Version 5.0
– Reason for Revision: Microsoft is releasing a security update for CVE-2021-27065,
CVE-2021-26855, CVE-2021-26857, and CVE-2021-26858 for Microsoft Exchange Server 2013 Service Pack 1. This update addresses only those CVEs. Customers who want to be protected from these vulnerabilities can apply this update if they are not on a supported cumulative update. Microsoft strongly recommends that customers update to the latest supported cumulative updates.
– Originally posted: March 2, 2021
– Updated: March 16, 2021

Neue CUs für Exchange Server 2016/2019

Ergänzung: Zum 16. März 2021 hat Microsoft zudem die nachfolgenden vierteljährlichen kumulativen Updates für Exchange Server 2016/2019 freigegeben.

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...] für Exchange Server 2016 CU 20

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...] für Exchange Server 2019 CU 9

Microsoft hat dazu den Techcommunity-Beitrag Released: March 2021 Quarterly Exchange Updates veröffentlicht. Dort empfiehlt man, dass Administratoren diese kumulativen Updates vor dem Ausrollen testet. Danke an den Nutzer in nachfolgendem Kommentar und an Toni für die Mail.

Quelle:
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Stark verwunderlich, empfinde ich das nicht.
M$ ist nun mal der Konzern schlechthin, der sich damit geschlagen geben muss, von Hackern, Softwarepiraten, etc , etc, vozugsweise heimsuchen lassen zu muessen; sprich in Ihrer Produktlandschaft.
Das geht schon locker seit Beginn der 90iger so.
Ich wurde auch immer belaechelt in meiner Phobie, die schon mit outlook begann..fuer mich bitte nur eine ersatzloesung..aber sei es drum..

Zitat:

Zitat von Caplan (Beitrag 40262160)

Das geht schon locker seit Beginn der 90iger so.
Ich wurde auch immer belaechelt in meiner Phobie, die schon mit outlook begann..fuer mich bitte nur eine ersatzloesung..aber sei es drum..

1998, wenn ich mich recht entsinne, stellten auf der CeBit M§ und SuSE jeweils einen Server auf mit dem Aufruf diese zu hacken. Auf dem NT4 und dem Linuxserver war jeweils eine Textdatei hinterlegt.
Demjenigen, der als erster diese Textdatei vorlegen konnte, wurde ein ca. 7000 DM teurer Desktop PC offeriert.

Beide Server liessen sich seinerzeit nicht knacken, jedoch wurden Sicherheitslücken entdeckt. SuSE schloss diese binnen einer Woche. M§, nach meinen Kenntnissen, nie.

Jetzt rächt sich diese 'Monokultur', die M§ angestrebt und bekommen hat. Die Update Struktur von Windows ist, gerade für Netzwerkadministratoren, extrem aufwendig, wie ich finde.
Sie kostet sehr viel Zeit, weil die Patches eben auf die einzelnen Server und Clients, mehr oder minder manuell, verteilt werden müssen.

Dagegen arbeiten viele Linux basierte Systeme, wenn man es will, bezüglich gerade der Security Patches, mehr oder minder, vollautomatisch.

Der betriebs- und volkswirtschaftliche Schaden, den M§ damit anrichtet mag ich mir nicht vorstellen.

Nun, das liegt in der Natur der Dinge.
Im technischen Bereich kommst du ohne WIN nicht aus, siehe Softwareprodukte
Aerzte und Drucker mal ausgenommen, die begannen auf MAC
Selbst in Deutschland versuchte man Ende der 90iger wenigstens die Verwaltung in irgendeinem Bundesland auf Linux einzuschiessen, allein schon wegen der Lizenzkosten.
Fazit; nach einigen Jahren war das Projekt fuer gescheitert erklaert.
Die Gruende waren vielfaeltig. Kompatibilitaeten, User, Softwaren, dies , das jenes..
Selbst die Russen hatten mal Ende der 90iger gedroht, ein eigenes Sys zu entwickeln, da man nicht allein auf die amerik. Grundlage aufbauen wollte.
Hat man nie wieder was von gehoert.

Zitat:

Zitat von Draalz (Beitrag 40262476)

Dagegen arbeiten viele Linux basierte Systeme, wenn man es will, bezüglich gerade der Security Patches, mehr oder minder, vollautomatisch.

Kein Enterprise-System installiert vollautomatisch Updates.

In Windows verteilt auch keiner "manuell" Updates. Und wer seine On-Premises Server ins Netz hängt ist sich des Risikos offensichtlich nicht bewusst.

Ich möchte mal eine Linux-Umgebung sehen, die ein Ersatz für MS wäre (existiert nicht). Und wenn dann mal eine existiert, dann hat die genauso Lücken, wie jetzt MS Produkte.

vor allem win kann es auch automatisch,,nur sollte man das tunlichst unterlassen. Siehe bluescreens und aehnlich erfolge..saftware laeuft auf einmal nicht mehr..usw usw..
Ohne Testumgebung geht hier bei mir gar nichts..und eingespeist wird nach online erhalt auf einemaberiegelten Platz.. im eigenen netz offline; intranet..nach Pruefung..
Sicherlich kannman nicht jedes Update auf eine Einfalltormoeglichkeit pruefen. Admins sind keine Dauerhacker oder haben all das Wissen Vieler, die der grauen Szene angehoeren.

Zitat:

Zitat von csesraven (Beitrag 40270607)

Ich möchte mal eine Linux-Umgebung sehen, die ein Ersatz für MS wäre (existiert nicht).

Dafür hat M§ jahrzehntelang gesorgt. :rolleyes:

Ich will hier keinesfalls eine Grundsatzdiskussion lostreten und führe das nicht weiter aus.

Zitat:

Zitat von Draalz (Beitrag 40271832)

Dafür hat M§ jahrzehntelang gesorgt. :rolleyes:

Ich will hier keinesfalls eine Grundsatzdiskussion lostreten und führe das nicht weiter aus.

Was solls da auch auszuführen geben. Als MS gestartet ist, war IBM schon 60 Jahre am Markt. MS ist einer der größten Supporter von Linux und ca 3/4 der VMs in Azure laufen auf Linux.

Aber Linux wird auch auf lange Sicht kein Endbenutzer-System

Zitat:

Zitat von csesraven (Beitrag 40273256)

Aber Linux wird auch auf lange Sicht kein Endbenutzer-System

Vermutlich nicht. Die ganze Gesellschaft hat sich ja an M$ gewöhnt. Im letzten Monat hatte mein Kurzer eine Powerpoint Präsentation in der Schule vorzulegen. Der geht in die 7. Klasse. :rolleyes:
Es musste Powerpoint sein, nix von Open Office, nix von Corel, obwohl letztere schon vor 20 Jahren die bessere Software anboten. :rolleyes:

Es gibt Studentenlizenzen von M§ für wenig Geld. Da wird doch schon ein Grundstein gelegt. Und wenn ich mir die Anforderungen an Bewerber in dem Unternehmen, in dem ich arbeite, ansehe, sind dort immer M§ Office Kenntnisse erwünscht.
Völlig kritikfrei wird das von allen so hingenommen und deswegen wird sich daran auch nichts ändern.

Ich kann mich da selbst kaum ausschliessen, musste ich doch die Tage einige Dokumente einscannen. Ein altes Multifunktionsgerät, dessen Drucker defekt ist wurde mal eben angeschlossen. Ich hab's über sane nicht hinbekommen, hatte aber, offen gesagt, auch keine Lust da herum zu tüfteln.
Mit Win 10 war die Arbeit nach einer Stunde erledigt. :rolleyes:

Dass Systeme, die mit M§ Software betrieben werden, einen erheblich höhere Resourcen beanspruchen und damit auch einen höheren Energiebedarf haben, liegt aussen vor.

Dennoch liegt das Problem der M§ Monokultur nicht bei M§, sondern es liegt in der Etappe, bei vielen Netzwerkadministratoren, die schlicht und ergreifend überfordert zu sein scheinen.

M$ wurde 1975 gegruendet...und IBM 1911..
Also mit der Hardware von IBM vor 1960, konnte weder linux noch M$ was anfangen..das nur mal anbei
Und was zeichnet M$ seit jeher aus, das sie die ersten waren die letztendlich Befehlszeilen, die sonst muehsam zu tippen waren und vor allem im Kopf zu behalten waren, eine Arbeitsmaske mit schicken Buttons gaben.
Und im spaeteren Verlauf kamen Treiber, die sonst jeder Softwareschreiber selbst entwickeln musste, als einzupflegende Hardwarehaendlerware hinzu.

Wer schon frueher als Netzwerker die config.sys und autoexec.bat richtig zu schreiben wusste hatte schon seien halben Schaedel entleert.
Dazu kamen die taeglichen Tippereien von, copy dingens nach bummens..usw usw..
Irgendwann haben sogar ausschliesslich unixlastige Softwarehersteler auf den Trichter..die Masse will keine in Stein gemeisselten Befehlszeilen mehr.
Die Leistungen der PC's stiegen, manch Flaschenhals wurde kleiner..
Und es galt die Masse zu erreichen.
Man kann behaupten, das ohne Dinge wie M$, die grosse Mehrheit nur ein untergeordnetes Interesse an Computern gehabt haette oder das Potential.

Geschickt war dann sicherlich der unabdingbare Deal, mit relevanten Konzerne der PC Branche, eine Verkauf der Geraete nur mit M$ System zu verlangen, seitens M$

Dieser Schulzwang sich mit M$ office auseinanderzusetzen, anstatt Openoffice liegt sicherlich auch daran, das die Lehrkoerper nichts anderes koennen.
Und die Kompatiblitaet der Dokumente WAR auch nicht immer ganz die beste.
Siehe heute manche Schulen, die auschliesslich Macbook fuer den Onlineunterricht bevorzugen.
Der Grund ist eigentlich fast trivial, neben dem Netz....es wird darauf u.a. gesetzt , das die Handschrift fliessender vom Macbook erkannt und verarbeitet wird..

Mal editiert, da wieder neue Erkenntnisse herrschen in einem Bundesland

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Zitat:

Zitat von Caplan (Beitrag 40278840)

Und was zeichnet M$ seit jeher aus, das sie die ersten waren die letztendlich Befehlszeilen, die sonst muehsam zu tippen waren und vor allem im Kopf zu behalten waren, eine Arbeitsmaske mit schicken Buttons gaben.

Naja, die ersten waren sie nicht. Ihnen kam Steve Jobs zuvor, meine ich, und zwar [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...].

Indes gab es, mehr als ein Jahrzehnt zuvor, eine Entwicklungsabteilung der Firma Xerox. Dort liefen Rechner, mit denen man Textdokumente ausdrucken konnte, die dann genauso aussahen, wie auf dem Bildschirm und mit denen man untereinander per einer Art E Mail kommunizieren konnte.
Der Vorstand, dem das Projekt vorgestellt wurde, hat die Tragweite und das Potential diese Projektes nicht verstanden und es eingemottet, zu einer Art Museum. Mehr als 10 Jahre in den Wind geschossen, informationstechnisch. :rolleyes:

Einige Jahre später besuchten ein gewisser Bill Gates und ein gewisser Steve Jobs dieses Museum und fanden Inspiration.