Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Pro » Internet » Fouten in Microsoft Exchange helpen spammers

Fouten in Microsoft Exchange helpen spammers

Door Remy Bergsma, dinsdag 18 november 2003 21:37
Bron: ZDNet, views: 876

Een artikel op ZDNet meldt dat door een fout in Microsoft's Exchange-software spammers vrij spel hebben om een mailserver te gebruiken voor het versturen van spam. Aaron Greenspan van Think Computer kwam hierachter toen een mailserver van een klant spam begon te versturen. Het blijkt dat in Exchange 5.5 en 2000 een fout zit waardoor het mogelijk is om via de guestaccount anonieme mail te versturen. Zelfs als er niet ingelogd kan worden op de server, vangt de guestaccount de mail op en wordt deze verzonden. Op verschillende nieuwsgroepen van Microsoft staan berichten van systeembeheerders die vertellen dat hun mailservers spam versturen, zelfs al zijn de beveiligingen up-to-date. Microsoft meldt echter dat het hier om een relatief klein probleem gaat en dat er weinig klachten over zijn geweest:

Microsoft Exchange server 2000 Greenspan, however, argued that the problem has accounted for a large amount of unsolicited e-mail. He estimates that at least 100,000 messages spammers in China sent went through his client's server before he stopped the problem. He added that the issue is causing headaches for Exchange administrators. "It is really inexcusable for a company that claims security is its top priority," he said.
Volgende 00:06 EU onderzoekt Oracle's overnamebod op PeopleSoft
Vorige 21:31 Impressie eerste dag Comdex 2003 door AMDZone
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 60 reacties zichtbaar600 Off-topic / Irrelevant: 52 reacties zichtbaar52+1 On-topic: 43 reacties zichtbaar43+2 Informatief: 22 reacties zichtbaar22+3 Spotlight: 9 reacties zichtbaar9
«  1  2  »

Door leon1e, dinsdag 18 november 2003 22:30

Score: 2
De patch ben je ZELF als beheerder in dit geval, als je het guest account aanzet(wat je alleen maar in rare gevallen zult doen) ben je eigenlijk al verkeerd bezig en krijg je veel meer van deze lekken.

Dus een patch is helemaal niet nodig, ook kun je het guest account ontdoen van zijn mail rechten. :z

Door Unipuma, dinsdag 18 november 2003 23:54

Score: 2
Het zou natuurlijk wel netjes zijn geweest als het Guest account default UIT had gestaan, ipv aan.
Ik merk toch dat voor een heleboel 'system admins' het begrip inrichten server niet verder gaat dan een CD er in mikken, Next->Next->Finish te drukken, en vervolgens de laatste updates op te halen.
Zaken als actief security policies instellen, registry wijzigingen doorvoeren om de beveiliging aan te scherpen en het hernoemen van administrator en guest accounts komt maar weinig voor.

Door Beaves, woensdag 19 november 2003 09:42

Score: 1
Het zou natuurlijk wel netjes zijn geweest als het Guest account default UIT had gestaan, ipv aan.

En dat is dus ook zo, als je een schone Windows 2000 Server installeerd staat het guest account gedisabled, het account staat dus niet standaard aan.

Dat systeembeheerders die toch aan zetten (voor compabiliteit redenen meestal) kan voorkomen, maar dat zullen er niet veel zijn, vandaar dat MS van een klein probleem spreekt.

Dat het mogelijk is om zonder in te loggen toch mail via een Exchange server te versturen is slordig en dat zou standaard dus niet mogen. Ik ken weinig mail servers waar je zonder op in te loggen mail kan versturen en dat is ook een rare feature van Exchange.

Door 19973, dinsdag 18 november 2003 21:40

Score: 0
Geen patch / update :?

Door BassOfT, dinsdag 18 november 2003 21:42

Score: 2
Microsoft meldt echter dat het hier om een relatief klein probleem gaat en dat er weinig klachten over zijn geweest
tja... maar nu is het een groot probleem..
we wachten rustig op de patch :z

Door nAFutro, woensdag 19 november 2003 08:21

Score: 1
.. dan hoor ik graag wat jouw alternatief is.
Een exchange zit natuurlijk in een bedrijf, waar doodnormale mensen werken, die willen natuurlijk simpele clients hebben....

Door Roland684, woensdag 19 november 2003 01:44

Score: 1
Laat ik nou denken dat die bagetaliserende instelling van microsoft eindelijk verdwenen was, maar hij is weer helemaal terug "het is geen fout, het is een feature!" :r

Door Duinkonijn, dinsdag 18 november 2003 21:43

Score: 2
daarom moet je ook je guest account blokeren

prutsers

Door jp, dinsdag 18 november 2003 21:48

Score: 0
Zelfs als er niet ingelogd kan worden op de server, vangt de guestaccount de mail op en wordt deze verzonden.

:Z

Door elevator, dinsdag 18 november 2003 21:50

Score: 2
en als je de guest account nou *disabled* zo als duinkonijn zegt is het opgelost.

Elk bedrijf wat serieus bezig is met security disabled de guest account. Ook de bedrijven die dat niet zijn, trouwens.

Oh. enne. Oud :z

click

Door pfismvg, dinsdag 18 november 2003 22:27

Score: 3
het is niet het guest acount wat ze gebruiken maar een ander account wat helemaal niet in de server zit.

Ik heb al 2 exchange servers gehad die hierdoor getroffen zijn bijna tegelijkertijd.

Er werd een connectie gemaakt met een voor mij onbekende gebruiker. Ik heb een vermoeden dat ze inloggen met een account dat ze zelf hebben aangemaak op een eigen server ergens op internet.

bijvoorbeeld spammer@hackdomain.net hackdomain.net is het windows domein van de spammer en windows 2000 zoekt dan via DNS de server op die de wachtwoord authenticatie voor die gebruiker doet. En verder wordt er niet gekeken of dat domein wel of niet vertrouwd is.

Ik weet niet zeker of dat het lek is maar op de eerste server werd bij mij ingelogt onder de naam nemo en de tweede een andere naam (weet niet meer wat maar geen guest)

Ik heb nu op alle servers ' relay na authenticatie' in de SMTP servers uitgezet en niets meer gezien.

Door guru, woensdag 19 november 2003 14:48

Score: 1
Idd het zit in exchange maar ook in exchange kan je gast gewoon uitzetten.
Bovendien is het in mijn ogen alleen veilig om exchange te gebruiken in combinatie met een degelijk internet filter dat dus ook als "mailserver" doorgeefluik alle mail filtert.
En dan was die spam al nooit bij de exchange server gekomen.

edit, gast accepteert dus alle namen die niet in de gebruikerslijst staan.

Door richard_kraal, dinsdag 18 november 2003 21:57

Score: 2
wat ik dan niet snap: standaard staat de guest account UIT, en dat wil je ook echt zo houden ook, dat leer je al snel,

zijn die mensen dan zo slim om guest account 'aan' te zetten?

Door Madcat, dinsdag 18 november 2003 22:02

Score: 3
Sommige mensen die de samba functies willen gebruiken hebben dit misschien wel juist aan gezet.

Dat jij het niet gebruikt wil niet zeggen dat niemand het gebruikt!
En om nu shares aan te maken voor iedere gebruiker is ook zo veel werk. het guest account is hier juist erg handig voor.

onder linux wordt het nobody account toch ook gewoon gebruikt dit is erg handig! en zorgt juist voor extra veiligheid

Door Sfynx, woensdag 19 november 2003 19:20

Score: 1
onder linux wordt het nobody account toch ook gewoon gebruikt dit is erg handig! en zorgt juist voor extra veiligheid

valt nog te bezien... vaak wordt zo'n account voor meerdere dingen gebruikt en dat is juist slecht... als iemand iets kraakt wat onder dat account draait, ligt alles wat onder dat account draait aan z'n voeten. Voor elk doel een apart account gebruiken met zo min mogelijk privileges is het beste, helaas laten veel mensen dat na.

Door oVRoM, dinsdag 18 november 2003 22:40

Score: 3
If you are using vulnerable versions of Exchange, and have been hit by a Code Red variant, you may want to insure your 'guest' accounts are still disabled.
Las het op /.
Dus blijkbaar zet Code Red dat guestaccount weer aan...

Door mjtdevries, woensdag 19 november 2003 11:19

Score: 1
Dus blijkbaar gaat het alleen maar om exchange servers waarbij de admins stom genoeg waren om ze besmet te laten raken, en daarna stom genoeg waren om de besmetting niet goed ongedaan te maken.

Ik kan geen medelijden met ze hebben. Hadden ze hun werk maar beter moeten doen.

Door 19973, dinsdag 18 november 2003 21:49

Score: 2
Exchange Server XP??
Het betreft hier geen Outlook hoor. ;)

Exchange is er in 5.5/2000/2003
XP heeft nooit bestaan.

Door SgtStrider, dinsdag 18 november 2003 21:50

Score: 1
Nou maar hopen dat Microsoft zo snel mogelijk een eventuele (noodzakelijke) patch uitbrengt, anders halen ze hun eigen naam door het slijk.

Dit zijn precies van die momenten waarop Microsoft zijn woorden kan omzetten in daden.

Door maxxware, woensdag 19 november 2003 10:28

Score: 0
En het zijn dus ook altijd die momenten warop MS zich weer eens ongeloofwaardig maakt. De 'days of threat'-teller staat nu al op 6 (en dan ga ik uit van de datum van het artikel op ZDNet...)

Als MS echt zaak maakt van beveiliging hadden ze dezelfde dag nog een patch/advisory uit kunnen brengen.

Door mjtdevries, woensdag 19 november 2003 11:30

Score: 2
Er is niks te patchen. Vandaar dat er geen patch komt.

Dat guest account moet gewoon weer disabled worden en het is opgelost. En dat staat ook al in de knowledgebase.

Door SubSpace, dinsdag 18 november 2003 22:03

Score: 3
Ik weet niet hoe ze het voor elkaar krijgen, maar als je Exchange goed configureert is dit toch echt niet het geval.

Ik heb een tijdje een Exchange 2000 server beheerd en de standaard instellingen zijn inderdaad vrij open, maar dat is zo veranderd, zodat een anonieme gebruiker alleen lokale mail kan sturen met de SMTP server..

Als ik het ZDnet artikel zo lees is het niet echt een security bug, gewoon een stelletje n00b admins :Z

Door zneek, dinsdag 18 november 2003 23:49

Score: 2
Ik heb zelf relaying uitgeschakeld. Alleen mail aangeboden door interne ip adressen wordt naar buiten gestuurd. Probleem ook opgelost toch?

Door Massiefje, woensdag 19 november 2003 09:02

Score: 2
Bijna, want hoe ga je dan om met de werknemers die via laptop in het buitenland mail willen ophalen/versturen ? ;)

Daarom relay uiteraard aan, maar wel zorgen dat ze met geldige gebruikersnaam en wachtwoord gewoon mogen inloggen.

En dan komt dus het guest account weer opzetten. Als die er is en hij kan gebruikt worden........... etc etc

Door Garyu, woensdag 19 november 2003 12:09

Score: 1
Dat los je op met een VPN verbinding? Weet je zeker wie de mail verstuurt, en deze krijgt een intern e-mailadres. Natuurlijk is het een beetje een lomp middel voor het probleem, maar het lost wel meer problemen op, met name uiteraard beveiligingskwesties.

Door RefriedNoodle, woensdag 19 november 2003 09:03

Score: 3
Nee, want dit is geen relayen. Dit is inloggen op de exchange-server en dan mail versturen. Als een user eenmaal aangemeld is op exchange, kan hij mailen naar wherever. En dat is kennelijk wat hier gebeurt.

Door willem-bever, dinsdag 18 november 2003 22:09

Score: 1
Microsoft meldt echter dat het hier om een relatief klein probleem gaat
Natuurlijk is het geen groot probleem.
Hoe later ze toegeven dat het een probleem is, hoe minder "days of threat" erachter zitten. :)
Maar goed, behalve wat verlies van bandbreedte en het risico dat je server door een spamfilter wordt geblocked zul je er niet snel schade van lijden.

Door wumpus, dinsdag 18 november 2003 22:31

Score: 3
Weinig schade? Vergeet niet dat in sommige staten in amerika er al flinke straffen staan op het versturen van spam, en ook in Nederland de wetgeving deze kant op gaat.

Door _JGC_, dinsdag 18 november 2003 23:23

Score: 2
Vergeet niet dat als je eenmaal in een RBL komt te staan, dat je dan ook niet echt gezegend bent ;)

Neem nou als voorbeeld Osirusoft, die had 3/4 van azie in de banlist staan omdat daar gewoon veel spam vandaan kwam :P

Door YopY, woensdag 19 november 2003 08:58

Score: 0
Dus, een nieuwe spamfilter maken, die gewoon alle mails uit Azie blokkeert :Y)

Door willem-bever, dinsdag 18 november 2003 23:38

Score: 1
Goed, ik bedoelde eigenlijk systeemtechnisch.
Je bedrijf zal niet plat liggen door dit foutje, in tegenstelling tot de "echte" gevaren, zoals de rcp-bug.

Maar even meer offtopic: zou je als bedrijf nu ook gepakt kunnen worden als buiten jouw schuld om iemand je server gebruikt om te spammen?

Door Weezer-DC, woensdag 19 november 2003 09:34

Score: 0
/nog meer offtopic

Als ik jouw auto jat en er iemand me over rij ben jij dan de schuldige ?

:Y)

Mensen moeten gewoon van jouw/bedrijfs spullen afblijven,
Ik hoef bij mij thuis toch ook geen kogelwerend glas/vuurmuurtjes te "instaleren".
Die klote scriptkiddies/crackers en rotzooi moet gewoon met hun poten van anderamns spullen afblijven.

Door himlims_, dinsdag 18 november 2003 22:53

Score: 2
kleine probleempjes worden groot wanneer ze ook groot gepresenteerd worden. Neem t.net nu, de gemiddelde bezoeker zal nu van deze 'bug/feature' op de hoogte zijn, en de spammer dus ook. Dat neemt natuurlijk niet weg dat 't nu de taak is aan de systeembeheerder die natuurlijk altijd alles netjes op orde heeft ... maar de systeem beheerder die dat dus niet doet, is nu een nieuwe 'klant' voor de spammer

Door L0renz0, woensdag 19 november 2003 08:34

Score: 1
Dat is nou net de instelling die mijn mailbox elke ochtend vult met 30 E-mails die ik niet nodig heb !

Door mister X630, woensdag 19 november 2003 09:43

Score: 0
Dat is nou net de instelling die mijn mailbox elke ochtend vult met 30 E-mails die ik niet nodig heb !
Ik neem aan dat je het hebt over je mail via een internet-provider (msn/hotmail...etc.etc.)? via een exchange-server bij een bedrijf zelf zul je nooit veel spam ontvangen als je een beetje nette gebruikers hebt.

ligt er maar net aan waar je allemaal op internet loopt rond te klooien en waar je zomaar zonder er bij na te denken je email-adres invult op websites die er om vragen. Dat is vragen om spam, ik zou me geen andere reden kunnen bedenken.

Hier hebben de gebruikers (+/- 40) geen last van spam mail op heel af en toe een enkel mailtje na dan. En dat alles zonder spam filter!

edit:
GVD!!! wat nou off-topic? Ik geef gewoon een onderbouwde reactie op de reactie van een ander. en buiten dat heeft het ook nog met het onderwerp te maken.

Door Movemoor, dinsdag 18 november 2003 22:23

Score: 1
"If the guest account is enabled (on Exchange 5.5 and 2000), even if your login fails, you can send mail, because the guest account is there as a catchall," he said. "Even if you think you've done everything (to secure the server), you are still open to spammers."

Ja duh, wie zet dat nou aan.

Door silvershadow449, dinsdag 18 november 2003 22:30

Score: 3
Inderdaad, nogal een open deur van selfproclamed IT expert Aaron Greenspan. Ik vermoed dat hij gewoon druk bezig is middels wat extra publiciteit zijn bedrijfje Think Computer te promoten. :z

http://www.thinkcomputer.com/corporate/news/releases/11122003.html
Nogal veel tamtam in de pers aangekondigd, maar inhoudelijk gezien is het een storm in een glas water...

Door Movemoor, woensdag 19 november 2003 08:02

Score: 3
Inderdaad, in elk security best practice document wordt dit zwaar afgeraden en ik heb nog nooit met een omgeving te maken gehad waar dit aan stond, het is gewoon not done. Het is natuurlijk popie jopie om aan MS bashing te doen en ze hebben ook geen sterke reputatie op dat gebied maar laten we wel even hoofd en bijzaken uit elkaar houden
(maar ja blijkbaar is die insteek 'overbodig')

Door wouter veltmaat, dinsdag 18 november 2003 23:26

Score: 0
Zou er nu in Amerika iemand een rechtszaak tegen MS aanspannen omdat het niet goed heeft aangegeven dat dit probleem zich voor kon doen en daardoor schade heeft?

Lijkt me een interessante zaak. Er zijn wel voor minder dingen rechtszaken aangespannen tegen MS.

Door CARman, dinsdag 18 november 2003 23:37

Score: 1
Standaard staat de Guest-account bij installatie al uit.

Moet je MS dan verantwoordelijk maken voor de gevolgen van een virus, of een systeembeheerder, die die account wel activeerd ?
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 00:06 EU onderzoekt Oracle's overnamebod op PeopleSoft
Vorige 21:31 Impressie eerste dag Comdex 2003 door AMDZone
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011