News Hafnium-Exploits: Lücken in Exchange Server werden für Spionage genutzt
- Ersteller Jan
- Erstellt am
- Zur News: Hafnium-Exploits: Lücken in Exchange Server werden für Spionage genutzt
Tronix
Commander
- Registriert
- Sep. 2010
- Beiträge
- 2.851
Nope. Das Problem liegt woanders. Speziell CUs sind mehr oder weniger komplette Exchange Neuinstallationen und überschreiben eine Menge Settings zurück zu den Default Einstellungen. So ein CU dauert auch gerne mal 1-2 Stunden. Solange man einen Exchange Server in den vorgesehenen Spezifikationen betreibt, läuft ein Update meist recht problemlos.
Betreibt man den Exchangen aber als Bastelbude, ändert man Pfade, Zertifikate, hat eigene configs am Laufen, sind Probleme vorprogrammiert…
Der Hausadmin hat meist kein Problem damit, da er die Settings kennt. Aber gerade Systemhäuser ignorieren Erfahrungsgemäß gerne CU Updates bei KMUs, und greifen erst dann ein, wenn Feuer am Dach ist.
Ich nehme an Microsoft hat dieselben Erfahrungen gemacht, und daher direkt einen CU unabhängigen Fix nachgereicht…
Betreibt man den Exchangen aber als Bastelbude, ändert man Pfade, Zertifikate, hat eigene configs am Laufen, sind Probleme vorprogrammiert…
Der Hausadmin hat meist kein Problem damit, da er die Settings kennt. Aber gerade Systemhäuser ignorieren Erfahrungsgemäß gerne CU Updates bei KMUs, und greifen erst dann ein, wenn Feuer am Dach ist.
Ich nehme an Microsoft hat dieselben Erfahrungen gemacht, und daher direkt einen CU unabhängigen Fix nachgereicht…
blackstarx
Ensign
- Registriert
- Nov. 2011
- Beiträge
- 255
Sind Exchange bei Ionos, strato usw auch betroffen? Also diese 4€ Postfächer
Tamron
Commodore
- Registriert
- Juli 2011
- Beiträge
- 4.100
Welches rechtzeitig meinst du?
Das rechtzeitig Anfang Januar als es Microsoft wusste und niemanden sagte?
Oder das andere rechtzeitig von den beiden letzteren Lücken Anfang Februar?
Oder das rechtzeitig, dass MS erst am heutigen Dienstag den Patch rausbringen wollte, da es der normale Zyklus ist?
Das rechtzeitig Anfang Januar als es Microsoft wusste und niemanden sagte?
Oder das andere rechtzeitig von den beiden letzteren Lücken Anfang Februar?
Oder das rechtzeitig, dass MS erst am heutigen Dienstag den Patch rausbringen wollte, da es der normale Zyklus ist?
Nur weil Microsoft solche Lücken nicht an die große Glocke für die Allgemeinheit hängt, bedeutet nicht, dass die Provider nicht sofort über solche Lücken informiert werden oder glaubst du IONOS und Co haben erst am 03.03 gepatcht?Tamron schrieb:
Da waren die Patches bei solchen Anbietern bereits längst eingespielt oder deren WAF hat längst solche Angriffe abwehren können. Es wird hier von Hafnium gesprochen und die Lücken wurden schon eine längere Zeit genutzt. Das was die meisten hier erlebt haben sind die Auswirkungen wenn man solche Lücken publik macht und hatten mit der angeblichen Hafnium Hackegruppe nichts mehr zu tun gehabt.
Zuletzt bearbeitet:
konkretor
Vice Admiral
- Registriert
- März 2011
- Beiträge
- 6.584
Die Updates kamen als Release Variante, "lange" davor wird es hotfixes gegeben haben und Unternehmen in der Größe von IONOS haben genug eigene Möglichkeiten um Unregelmäßigkeiten in den Netzwerken zu erkennen.konkretor schrieb:
Wie die Lage be Ionos speziell ausgesehen hat weiss ich natürlich nicht, aber wenn solche Lücken entdeckt werden Informiert man grosse Anbieter nun mal bevor man es an die grosse Glocke hängt.
Die meisten "Angriffe" in Deutschland kamen ja erst nachdem die Lücke bekannt wurde und genau deshalb behandelt man sowas zunächst vertraulich.
andy_m4
Vice Admiral
- Registriert
- Aug. 2015
- Beiträge
- 7.009
Also bleibt mal festzuhalten, es gibt bei der Geschichte 3 Hauptschuldige.
Erstmal natürlich Microsoft. Weil die haben die fehlerhafte Software ausgeliefert oder besser gesagt: Verkauft (und Exchange ist ja jetzt auch nicht irgendeine Billig-App oder so)
Zum Zweiten noch mal Microsoft. Die wussten von der Lücke aber statt die Betroffenen zu warnen und zeitnah einen Patch zur Verfügung zu stellen hat man das erst mal auf die lange Bank geschoben. Ich mein, im Januar davon erfahren und erst im März reagieren ist eindeutig zu spät. Da gibts auch nix schönzureden.
Ist auch nicht das erste Mal das kritische Bugs auflaufen und ewig liegen bleiben und Microsoft sich erst dann bemüßigt fühlt zu reagieren, wenn schon großflächig Angriffe laufen.
Zum Dritten natürlich die Leute, die Exchange einsetzen. Vor allem wenn ich dann so Sätze höre wie "Na wer einen Exchange ohne Proxy ans Netz hängt ist selbst schuld" und so. Ihr wisst, das ihr beschissene Software einsetzt und setzt sie trotzdem ein?
Erstmal natürlich Microsoft. Weil die haben die fehlerhafte Software ausgeliefert oder besser gesagt: Verkauft (und Exchange ist ja jetzt auch nicht irgendeine Billig-App oder so)
Zum Zweiten noch mal Microsoft. Die wussten von der Lücke aber statt die Betroffenen zu warnen und zeitnah einen Patch zur Verfügung zu stellen hat man das erst mal auf die lange Bank geschoben. Ich mein, im Januar davon erfahren und erst im März reagieren ist eindeutig zu spät. Da gibts auch nix schönzureden.
Ist auch nicht das erste Mal das kritische Bugs auflaufen und ewig liegen bleiben und Microsoft sich erst dann bemüßigt fühlt zu reagieren, wenn schon großflächig Angriffe laufen.
Zum Dritten natürlich die Leute, die Exchange einsetzen. Vor allem wenn ich dann so Sätze höre wie "Na wer einen Exchange ohne Proxy ans Netz hängt ist selbst schuld" und so. Ihr wisst, das ihr beschissene Software einsetzt und setzt sie trotzdem ein?
el.com
Lieutenant
- Registriert
- Okt. 2008
- Beiträge
- 758
Höhö, jetzt haben sich offenbar einige Kunden überlegt schnellstmöglich nach M365 zu migrieren und dort erlebt man gleich die nächste Überraschung...
F
foo_1337
Gast
Angenommen du gehst morgens aus dem Haus, lässt die Haustür aber sperrangelweit geöffnet. Abends kommst du nach Hause und es wurden Dinge entwendet. Wer war nun der Hauptschuldige? Wie wird das wohl eine Versicherung oder gar das Gericht sehen?chartmix schrieb:
el.com
Lieutenant
- Registriert
- Okt. 2008
- Beiträge
- 758
foo_1337 schrieb:
Der Dieb. Fertig.
Nur weil du deine Tür sperrangelweit offenstehen lässt, gibt das anderen noch lange nicht das Recht da rein zu marschieren und sich dein gesamtes Eigentum anzueignen. Natürlich wirst du dann wegen grober Fahrlässigkeit von der Versicherung keinen Cent sehen, aber das macht den Diebstahl noch lange nicht legal.
andy_m4
Vice Admiral
- Registriert
- Aug. 2015
- Beiträge
- 7.009
Klar kann man die Hacker als Schuldige titulieren. Die Frage ist ja, was nützt mir das? Der Hacker sitzt im Zweifel irgendwo in Nordkorea und handelt vielleicht sogar noch im staatlichen Auftrag. An den ranzukommen und den zur Verantwortung zu ziehen kannst Du vergessen. Du kannst halt nicht verhindern das Dich jemand versucht anzugreifen. Das könntest Du vielleicht noch innerhalb eines Landes irgendwie hinrkiegen. Aber selbst das ist schwierig. Weltweit da irgendwie was zu machen (und das Internet ist ja nun mal global) ist aussichtslos.el.com schrieb:
Was kann man also tun, um die Situation zu bessern. Hacker zu bestrafen oder mit Strafe zu drohen ist nicht. Man kann aber z.B. die Softwarehersteller in die Pflicht nehmen und z.B. endlich mal sowas wie Produkthaftung einführen. Bis dato besteht nämlich kein wirklicher Anreiz für die Softwarehersteller ordentliche Produkte abzuliefern weil denen halt im Fall des Falles auch keine Konsequenzen drohen.
Auf der Anwenderseite könnte man auch was machen. Wenn ich halt sehe, das Exchange und Co seit Jahren durch Sicherheitsprobleme auffallen, dann muss man auch auf der Seite die Konsequenzen ziehen (alles andere ist schlicht fahrlässig). Wenn wir schon über sowas wie Produkthaftung die Hersteller nicht dazu bewegen können, dann eben zumindest dadurch das wir bekanntermaßen schlechte Produkte nicht kaufen. Auch damit lässt sich nämlich Einfluss auf die Softwarehersteller nehmen. Wenn wir als Kunden die sozusagen am Geldbeutel treffen wenn die miese Software abliefern.
Das sind die Stellschrauben an denen man drehen kann. Wo man was ändern kann. Da nur auf die Hacker zu zeigen und den Angriff als Schicksalsschlag zu begreifen, davon bessert sich die Situation nicht. Deshalb ist es müßig darüber zu diskutieren, ob und wie viel Schuld irgendwelche Hacker haben.
F
foo_1337
Gast
Das hat auch niemand behauptet (Hausfriedensbruch). Der Hauptschuldige an dieser Situation bist dennoch erstmal du. Früher in den 80ern gab es mal so Aufkleber zur Aufklärung "Gelegenheit macht Diebe"el.com schrieb:
el.com
Lieutenant
- Registriert
- Okt. 2008
- Beiträge
- 758
Nein, bist du nicht. Der Hauptschuldige ist grundsätzlich derjenige, der die Straftat begeht. Anderes Beispiel: Wenn ich mein Fahrrad in der Stadt abstelle ohne es abzuschließen, muss ich mich natürlich nicht wundern wenn es geklaut wird (und auch die Versicherung wird sich dann auf Fahrlässigkeit meinerseits berufen und mir deshalb den Schaden nicht ersetzen). Aber das macht mich nicht zum Schuldigen. Der Schuldige ist derjenige, der sich mein Eigentum widerrechtlich aneignet. Kurz: derjenige, der die Straftat begeht. Niemand sonst.
Dem stimme ich zu. Um einen Beitrag von Bruce Schneier von letzter Woche zum SolarWinds Hack zu zitieren:
Man wälzt also die Verantwortung für mangelhafte Produkte einfach auf den Kunden ab. Klar, jede Software wird auch nur von Menschen geschrieben und ist somit fehleranfällig, aber was sich Microsoft hier wieder geleistet hat, ist verantwortungslos. Eine so schwere Lücke erst zwei Monate nach Bekanntwerden zu schließen, wobei man bereits Anfang des Jahres beobachtet hat, dass diese aktiv ausgenutzt wurde, sollte Konsequenzen für den Hersteller nach sich ziehen.
Ergänzung ()
andy_m4 schrieb:
Dem stimme ich zu. Um einen Beitrag von Bruce Schneier von letzter Woche zum SolarWinds Hack zu zitieren:
Man wälzt also die Verantwortung für mangelhafte Produkte einfach auf den Kunden ab. Klar, jede Software wird auch nur von Menschen geschrieben und ist somit fehleranfällig, aber was sich Microsoft hier wieder geleistet hat, ist verantwortungslos. Eine so schwere Lücke erst zwei Monate nach Bekanntwerden zu schließen, wobei man bereits Anfang des Jahres beobachtet hat, dass diese aktiv ausgenutzt wurde, sollte Konsequenzen für den Hersteller nach sich ziehen.
Zuletzt bearbeitet:
andy_m4
Vice Admiral
- Registriert
- Aug. 2015
- Beiträge
- 7.009
Das ist auch so ein Mythos, der von den Softwareherstellern fleißig gepflegt wird. :-)el.com schrieb:
Also ja. Fehler können passieren. Trotzdem kann man sehr viel tun, um Fehler zu vermeiden.
Was man aber heutzutage beobachtet ist eher andersrum. Das Geschäftsmodell ist: Man verkauft den Kunden fehlerhafte Software und schwatzt ihm zusätzlich noch ein Wartungsvertrag auf. Oder es geht gleich ganz in die Cloud, wo man dem Hersteller dann erst recht auf Gedeih und Verderb ausgeliefert ist.
Bekannt war diese Lücke sogar schon früher. Im Januar ist Microsoft dann darauf hingewiesen worden, das da wohl auch begonnen wird die auszunutzen. Mir fallen also schon keine Ausreden ein, warum da der Patch nicht schon längst verfügbar war. Dann aber immer noch wochenlang zu warten, da fällt mir nichts mehr zu ein.el.com schrieb:
Ich stimme deinen Ausführungen zur Verhinderung ja zu.andy_m4 schrieb:
Ändert nichts daran, dass die Straftat der Hacker begangen hat.
Ich habe nicht behauptet, dass man die Situation einfach hinnehmen sollte. Präventive Maßnahmen sind absolut erforderlich.
F
foo_1337
Gast
Ich sehe das nach wie vor pragmatisch: Wenn jemand meine Kisten owned, bin ganz alleine ich daran Schuld, that's it. Und mit diesem Mindset sorgt man dann automatisch dafür, dass das Risiko auf ein Minimum gesenkt wird. Aber leider haben in der IT viele eher das Mindset "Kann ich ja nix dafür, der böse böse H4x0r war schuld!" und scheren sich dann weder bei der Softwareauswahl noch bei der Härtung um irgendwas.
Hier auch wieder ein gutes, aktuelles Beispiel: https://www.theverge.com/2021/3/9/2...eras-tesla-factory-cloudflare-jails-hospitals
Wer solch datenschutzrelevantes Zeug einfach so fahrlässig einsetzt ist und sich komplett auf den Hersteller verlässt, hat ein ernsthaftes Problem. Zurecht. Aber es wird ja auch im privatbereich Ring & Co in Massen gekauft. Weil ist ja so schön einfach.
Hier auch wieder ein gutes, aktuelles Beispiel: https://www.theverge.com/2021/3/9/2...eras-tesla-factory-cloudflare-jails-hospitals
Wer solch datenschutzrelevantes Zeug einfach so fahrlässig einsetzt ist und sich komplett auf den Hersteller verlässt, hat ein ernsthaftes Problem. Zurecht. Aber es wird ja auch im privatbereich Ring & Co in Massen gekauft. Weil ist ja so schön einfach.
