Microsoft pauzeert update voor spoofingkwetsbaarheid in Exchange Server

Microsoft pauzeert de uitrol van beveiligingsupdates voor Exchange Server 2016 en 2019 nadat gebruikers problemen hebben gemeld. De patches, die begin deze week beschikbaar zijn gemaakt, zijn onder meer gericht op een spoofingkwetsbaarheid in de mailserversoftware.

In een blogpost schrijft de ontwikkelaar dat de Patch Tuesday-update voor problemen kan zorgen bij klanten die hun eigen transport- of data loss prevention-regels gebruiken. In dat geval stoppen de transportregels periodiek met werken. Microsoft onderzoekt het probleem en werkt aan een permanente fix. In de tussentijd raadt het bedrijf getroffen gebruikers aan om de beveiligingsupdate terug te draaien.

De zeroday in kwestie staat bekend als CVE-2024-49040. Bij misbruik kunnen malafide partijen via P2 FROM-headers die niet voldoen aan RFC 5322 hun e-mailadres vermommen. Op die manier wordt een vervalste afzender als legitiem weergegeven. De beveiligingsupdate is geen fix voor de kwetsbaarheid, maar voegt een waarschuwing toe die gebruikers krijgen te zien wanneer een e-mail de voorgenoemde header bevat.

Reacties (34)

TheSanderZone 15 november 2024 19:46

Ah, daarom, kon al niet zo snel vinden waarom wij hier een 404 voor onze ogen kregen. Dit was de originele url: https://support.microsoft...96-4e0c-a267-bf43964d679a

HKLM_

Microsoft

15 november 2024 20:46

Je vraagt je toch af of ze überhaupt testen

Cowamundo @HKLM_ • 15 november 2024 20:50

Het gaat de laatste maanden wel erg vaak fout met updates… dus wie weet.

Visgek82 @Cowamundo • 15 november 2024 21:04

Natuurlijk testen ze. Echter, dit soort dingen zijn extreem complex en je kunt nu eenmaal niet voor alles testen.

Drardollan @Visgek82 • 15 november 2024 21:50

Je bent duidelijk slecht geïnformeerd. Microsoft test praktisch niets meer, de klant is de tester. Aan de lopende band worden er updates met problemen uitgestuurd. Ze geven dit ook gewoon zelf toe, het is geen geheim of iets:

Targeted, therefore, refers to the initial phase of a release, the phase wherein your IT team (or the IT team here at Microsoft) makes the release available only to specific, “targeted” devices for the purpose of validating and generating data in order to get to a broad deployment decision.

https://techcommunity.mic...ing%e2%80%9d-sac-t/199747

En de reden is simpel: kosten drukken en pushen naar hun cloud oplossingen waar deze problemen verrassend genoeg niet spelen.

DrWaltman @Drardollan • 15 november 2024 22:59

Daar staat dus niet dat ze niet testen maar dat ze voorzichtig zijn met volledige release door eerst een kleine batch van de update te voorzien. Mochten hier problemen aan het licht komen kunnen ze stappen ondernemen. Dat is toch een compleet normale gang van zaken? Of maak jij software voor miljoenen apparaten die je wel in 1x update? Dat zou pas onverantwoord zijn.

Natuurlijk wordt dit getest, of denk je echt dat ze maar iets proberen en na compilen meteen online zetten zonder eerst ff op te starten?

Voordat je iemand beschuldigd van slecht geïnformeerd te zijn is het verstandig eerst het hele artikel te lezen en te begrijpen waarnaar je verwijst.

[Reactie gewijzigd door DrWaltman op 15 november 2024 23:02]

SillieWous @DrWaltman • 16 november 2024 00:33

Er wordt vast iets getest. Maar het viel mij ook op dat dit steeds meer voor lijkt te komen (afgaande op berichtgeving op tweakers). En er zit een verschil tussen minimaal testen en afdoende testen. Zeker een bedrijf als microsoft zie ik er voor aan om het absoluut minimum te doen.

Frame164 @SillieWous • 16 november 2024 16:11

Meer berichtgeving betekent niet per se dat het vaker voorkomt. Het kan ook zijn dat het hoger op het lijstje van de redactie is komen te staan.

DrWaltman @Frame164 • 18 november 2024 00:22

En het is natuurlijk bedrijfsmatig goed te verdedigen om een kosten baten berekening te maken op de testen. Er is een grens aan wat je kan en wil testen.

Het is voor mij vooral stuitend hoe zwart/wit sommigen hier de situatie zien. Het is dan meteen dat er helemaal niets gedaan wordt, dat is gewoon quatsch.

[Reactie gewijzigd door DrWaltman op 18 november 2024 00:38]

RedShift @DrWaltman • 16 november 2024 14:42

Dat is NIET de normale gang van zaken. Vroeger passeerde alles eerst langs de QA afdeling, daarna ging de update pas de deur uit. De QA afdeling had veel macht in die positie, zij hadden het laatste woord over dat een release doorgaat of niet.

De QA afdeling hebben ze ontslaan. De enigste manier van testen dat ze nu hebben is vertrouwen dat de developer die het geschreven heeft, het voldoende getest heeft. Natuurlijk passen ze nu een staggered rollout toe, omdat de klanten nu in essentie QA geworden zijn. Als er teveel klachten binnenkomen, dan wordt de rollout stopgezet.

De enigste reden waarom deze "klanten zijn de testers" workflow de norm is geworden is omdat we dit collectief als klanten aanvaard hebben.

DrWaltman @RedShift • 18 november 2024 00:37

Ik weet niet waar jij werkt maar dat is nu absoluut wel de gang van zaken.

De QA afdeling bij MS en anderen had niet alleen voordelen, maar juist zoveel nadelen dat die werd opgeheven omdat een andere implementatie betere resultaten opleverde.

Zie hier een artikel over de basis:

https://blog.pragmaticengineer.com/how-microsoft-does-qa/

RedShift @DrWaltman • 18 november 2024 11:17

Wel, de "betere" resultaten komen allezins vaak in het nieuws. Vroeger was een slechte update nieuwswaardig, kwam één keer in het jaar voor, nu is het elke maand miserie.

DrWaltman @RedShift • 18 november 2024 22:43

Ik ben het er zeker mee eens dat er op allerlei vlakken beter getest kan worden. Dat is mijn punt ook niet. Het gaat om een reactie op de typische “Twitter” reacties door sommigen. Gelijk vol in de aanval en ongefundeerde negatieve beweringen doen zonder enige nuance, zo werkt ook software testen niet.

Zelf ben ik het er overigens zeker mee eens dat de gemiddelde kwaliteit van -vooral bedrijf- software echt achteruit is gegaan. Ik ben dan ook niet echt een fan van agile scrum met mvp releases. De grootste gedrochten komen hieruit voort, waar vooral MT blij mee is vanwege de goede/gedetailleerde rapportages.Helaas is de daadwerkelijke gebruiker in de praktijk met een slechte UX opgezadeld.

Het zal mij niet verbazen als de controle ook op een soortgelijke manier is “geoptimaliseerd”.

Drardollan @DrWaltman • 16 november 2024 00:37

Dat durf ik wel te beweren ja. En daarin zijn ze niet de enige. Toevallig iets van CrowdStrike gehoord recent?

Als je denkt dat MS nog tijd en geld besteed aan uitgebreid testen, dan ben je op zijn minst naïef. Verder dan was basis testen gaat het niet, daarna wordt het zo naar de klanten toe gegooid. Bewijs is is niet zo lastig, zoek maar eens op hoe verschrikkelijk veel problemen ze de laatste 24 maanden hebben uitgestuurd met updates. Vraag vooral de Exchange beheerders eens hoe leuk de jaarwisseling was van 2021 op 2022 of een paar AD beheerders hoe lekker het is als je bakken om de paar minuten automatisch rebooten.

ArnoldSmit @Drardollan • 16 november 2024 09:52

Crowdstrike was niet de schuld van Microsoft.
Sterker nog Microsoft wil liever niet dat anti virus software zoveel rechten heeft in Windows, echter vanwege regelgeving waarin min of meer staat dat andere fabrikanten net zo veel mogelijkheden moeten hebben als Microsoft in het OS om virussen te bestrijden, is de ellende met crowdstrike het resultaat.

Drardollan @ArnoldSmit • 16 november 2024 20:48

Waar precies zeg ik dat Microsoft schuld heeft aan de problemen bij Crowdstrike? Ik vergelijk ze slechts met elkaar.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Drardollan • 16 november 2024 18:11

Als je denkt dat MS nog tijd en geld besteed aan uitgebreid testen, dan ben je op zijn minst naïef.

Als je denkt dat MS geen tijd en geld besteed aan uitgebreid testen dan ben je op zijn minst naïef.
Het is onzin namelijk; natuurlijk wordt er uitgebreid getest voordat er updates worden uitgebracht voor bedrijfskritische onderdelen. Je lijkt hier vooral vanuit je onderbuik te reageren. Anekdotisch bewijs wat je aandraagt toont je stelling niet aan.

Het Crowdstrike issue kan je niet bij Microsoft in de schoenen schuiven.

[Reactie gewijzigd door Bor op 16 november 2024 18:12]

Drardollan @Bor • 16 november 2024 20:46

Niks geen onderbuik. Gewoon feiten. Heb het voor 2022 wel eens op een rijtje gezet in een eerder nieuwsbericht. Te weten bericht Drardollan in 'Microsoft erkent verbindingsproblemen in Direct Access na update'

11 keer in 2022. Niks geen onderbuik dus, keiharde cijfers.

En ook even beter lezen, ik schuif Microsoft helemaal niet de fout van Crowdstrike in de schoenen. Ik zeg enkel dat ze beiden hun testen niet serieus nemen.

DrWaltman @Drardollan • 18 november 2024 00:18

Nee. Ik ben niet naïef. Je hebt gewoon niet een goed idee van hoe software getest wordt. Software in het algemeen is ingewikkeld om te testen en onmogelijk vrij van bugs te maken.

Er zijn zoveel configuraties en scenario’s mogelijk dat het ondoenlijk is om alles te kunnen testen. Ook bugs die voor de hand lijken te liggen zijn door meerdere test lagen heen gekomen. De snelste en meest efficiënte manier om daarna nog bugs te vinden is nou eenmaal een targeted release op een zo divers mogelijke base.

Crowdstrike heeft hier verder niet zoveel mee te maken.

TechSupreme @Drardollan • 16 november 2024 01:47

Dat is dus absoluut niet wat er staat en het hele artikel waar jij naar linkt, gaat over totaal iets anders. Dit gaat niet over security patches, maar over major releases en waarom ze bepaalde benamingen en tijdlijnen hebben veranderd.

Als je al de eerste alinea leest begrijp je meteen wat er aan de hand is. Microsoft erkent dat er oneindig veel configuraties mogelijk zijn in een productieomgeving en om mogelijk fouten op te vangen hebben ze een verandering doorgevoerd in hun release tijdlijn.

Dit wil niet zeggen dat er bugs zijn in Windows, het kan heel makkelijk zijn dat vanwege een update in een framework, API of tool er een mismatch ontstaat in de configuratie en de applicatie niet meer werkt.

Microsoft doet eerst een targeted release waarin je specifiek moet kiezen om een machine te updaten, zodat je kan testen of het wel werkt in jouw omgeving en eventuele fouten in je configuratie op kan lossen.

Dit is niet iets van vandaag of gisteren, het is altijd al zo geweest dat er ergens iets breekt bij een major update. Probeer maar eens: "sudo do-release-upgrade" op een Ubuntu machine en hoop dat al je applicaties nog werken.

Visgek82 @Drardollan • 15 november 2024 23:05

Zie de reactie van @DrWaltman ... verder heb ik daar niets aan toe te voegen.

Dennisb1 @Visgek82 • 15 november 2024 21:42

Kom op nou…. Transport regels zijn vrij standaard wat dat betreft.

TechSupreme @Dennisb1 • 16 november 2024 11:48

Jij verwacht dat ze alles kunnen testen voor een patch?

Het kan toch gebeuren dat ze iets repareren dat testen en onverwachts ergens anders iets breekt.

Een pakket als Exchange is zo groot met oneindig veel configuraties waardoor alles testen een onmogelijke taak is. Dan moet je kiezen wat je gaat testen.

[Reactie gewijzigd door TechSupreme op 16 november 2024 11:50]

Drardollan @HKLM_ • 15 november 2024 21:43

Er wordt niks getest, de gebruikers zijn de testers tegenwoordig. Het aantal problemen na updates in de afgelopen 2 jaar is niet meer op 2 handen te tellen. Of je Exchange of je AD server gaat omver.

Simpelweg strategie, in hun cloud heb je er nooit last van. Dus waar wacht je op als klant, kom er lekker bij.

Serieus advies, tenzij echt strikt noodzakelijk moet je elke update van MS op server gebied wantrouwen en liever een paar weken wachten met installatie.

Inproba

@Drardollan • 15 november 2024 21:50

In de cloud heb je ook vaak zat last van hun updates. Daar zijn ze ook heel vaak "standaard updates" aan het fixen vanwege fouten die erdoor naar voren komen.

Dus ja Microsoft test gewoon niet, of veel te kort.

Urk

@Drardollan • 16 november 2024 13:46

Helemaal eens, waardeloos is het....

ibmpc @HKLM_ • 15 november 2024 22:59

Je zou je dit bijna afvragen. Ook Windows 24H2 zit boordevol problemen en is nog lang niet geschikt om in zakelijke omgevingen uit te rollen.

Ik heb ooit de testbank van Microsoft gezien. Het was zaal zo groot als Buc-ee's. Met van ieder merk computer een exemplaar. Je kon vroeger (Windows Vista en ouder) ook terugzien op wat voor hardware je Windows ISO in elkaar was gezet, omdat als je de computer uit de OOBE trok dan zag je alle hardware nog in het register staan. Sinds Windows 7 is alle hardware ineens Hyper-V hardware als je de machine uit de OOBE trekt. Die testbanken zijn er niet meer, en het testen gaat echt veel minder uitgebreid en logischerwijs veel meer op Hyper-V.

[Reactie gewijzigd door ibmpc op 15 november 2024 22:59]

pbk @ibmpc • 16 november 2024 09:32

Waarom is 24H2 niet geschikt om in zakelijke omgevingen uit te rollen. Wij zijn hier inmiddels al enige tijd mee bezig en ervaren op meer dan honderd apparaten geen enkel probleem.
Zelf draai ik het nu ook al een tijdje en ben echt nog niets tegengekomen wat problemen veroorzaakt.
Ben wel benieuwd dus waar je op doelt.

ibmpc @pbk • 16 november 2024 17:14

Denk dat het grootste probleem is dat er inlogproblemen zijn, inmiddels ook confirmed door Microsoft.

pbk @ibmpc • 17 november 2024 08:51

Bedoel je dit probleem dat inmiddels is opgelost? https://learn.microsoft.c...ndows-11-24h2#3376msgdesc

Ik heb hier zelf geen probleem mee gehad en dit van onze gebruikers ook niet terug gehoord. En het is ook niet dat je dan niet meer kan inloggen. Je hebt naast je vingerafdruk altijd een alternatieve manier om in te loggen

ibmpc @pbk • 17 november 2024 20:33

Nee. Ik bedoel TAP. Dat is nu deels opgelost. Maar de essentie is dat 24H2 opvallend meer problemen heeft dan gebruikelijk bij feature updates. In zakelijke omgeving rol je feature updates doorgaans alleen uit op testgroepen, maar wij hebben 24H2 vooralsnog volledig teruggetrokken. De eerste updates van 24H2 hebben al enorm veel opgelost en we gaan weer testen bij sommige klanten, maar bij sommige klanten weten we dat er nog lopende issues zijn. Dat is ongebruikelijk voor Microsoft, meestal is een feature update gewoon klaar en prima te gebruiken.

[Reactie gewijzigd door ibmpc op 17 november 2024 20:34]

Dutch_CroniC @HKLM_ • 18 november 2024 13:55

Nee, dan doen alle admins voor ze.
Maar zou dat ook verklaren waarom er zoveel spam als legitiem gezien wordt?

Kabouterplop01 16 november 2024 11:19

En gezien de kritiek merk je hoeveel bedrijven eigenlijk vendor locked zijn. De hele productie is afhankelijk van de soft, -of hardware. Mocht er OTAP zijn. Vele bedrijven hebben PATO

En ook hoeveel kennis er eigenlijk is, gezien de context van de kritiek.

MS was een tijdje erg goed bezig, maar allang niet meer gezien alle high en critical kwetsbaarheden. (cvss3>8,5)
Ik vind het schandalig dat het een calculated risk is voor hun business model.
Ze kunnen nog steeds niet secure coden.
Bij dit soort kwetsbaarheden (Nou is spoofing ernstig maar deze, -we zijn het allemaal heel gewoon gaan vinden, valt het wel mee denk ik) zou je in geval van een device dat rechtstreeks aan het internet hangt binnen 24 uur moeten kunnen patchen.

Er komt nog een keer een hack door een chain van kwetsbaarheden die zeer moeilijk zijn te verhelpen, door dit soort locks.

Hopelijk wordt het beter en succes met patchen...(You know who you are)

Frame164 @Kabouterplop01 • 16 november 2024 16:13

De hoeveelheid gevonden vulnerabilities (niet alleen bij Windows) neemt domweg snel toe omdat er steeds meer mensen actief naar zoeken. Pak een willekeurig stuk software dat nu aardig dicht is en kijk over 1 of 2 maanden nog eens.

Op dit item kan niet meer gereageerd worden.

Microsoft pauzeert update voor spoofingkwetsbaarheid in Exchange Server

Lees meer

Reacties (34)

Sorteer op:

Weergave: