Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 60 reacties
Bron: ZDNet

Een artikel op ZDNet meldt dat door een fout in Microsoft's Exchange-software spammers vrij spel hebben om een mailserver te gebruiken voor het versturen van spam. Aaron Greenspan van Think Computer kwam hierachter toen een mailserver van een klant spam begon te versturen. Het blijkt dat in Exchange 5.5 en 2000 een fout zit waardoor het mogelijk is om via de guestaccount anonieme mail te versturen. Zelfs als er niet ingelogd kan worden op de server, vangt de guestaccount de mail op en wordt deze verzonden. Op verschillende nieuwsgroepen van Microsoft staan berichten van systeembeheerders die vertellen dat hun mailservers spam versturen, zelfs al zijn de beveiligingen up-to-date. Microsoft meldt echter dat het hier om een relatief klein probleem gaat en dat er weinig klachten over zijn geweest:

Microsoft Exchange server 2000 Greenspan, however, argued that the problem has accounted for a large amount of unsolicited e-mail. He estimates that at least 100,000 messages spammers in China sent went through his client's server before he stopped the problem. He added that the issue is causing headaches for Exchange administrators. "It is really inexcusable for a company that claims security is its top priority," he said.
Moderatie-faq Wijzig weergave

Reacties (60)

Ik weet niet hoe ze het voor elkaar krijgen, maar als je Exchange goed configureert is dit toch echt niet het geval.

Ik heb een tijdje een Exchange 2000 server beheerd en de standaard instellingen zijn inderdaad vrij open, maar dat is zo veranderd, zodat een anonieme gebruiker alleen lokale mail kan sturen met de SMTP server..

Als ik het ZDnet artikel zo lees is het niet echt een security bug, gewoon een stelletje n00b admins :Z
Ik heb zelf relaying uitgeschakeld. Alleen mail aangeboden door interne ip adressen wordt naar buiten gestuurd. Probleem ook opgelost toch?
Nee, want dit is geen relayen. Dit is inloggen op de exchange-server en dan mail versturen. Als een user eenmaal aangemeld is op exchange, kan hij mailen naar wherever. En dat is kennelijk wat hier gebeurt.
Bijna, want hoe ga je dan om met de werknemers die via laptop in het buitenland mail willen ophalen/versturen ? ;)

Daarom relay uiteraard aan, maar wel zorgen dat ze met geldige gebruikersnaam en wachtwoord gewoon mogen inloggen.

En dan komt dus het guest account weer opzetten. Als die er is en hij kan gebruikt worden........... etc etc
Dat los je op met een VPN verbinding? Weet je zeker wie de mail verstuurt, en deze krijgt een intern e-mailadres. Natuurlijk is het een beetje een lomp middel voor het probleem, maar het lost wel meer problemen op, met name uiteraard beveiligingskwesties.
Als ik dit stukje zoals t.net het post lees, lijkt het alsof het een fout in Exchange betreft. Maar in de link staat duidelijk dat dit verschijnsel zich voordoet als de guest-account enabled is. Probleem is dus dat de guest-account enabled wordt door de Code Red worm, niet door Exchange of zo.

Volgens mij hoeft er per definitie geen wachtwoord opgegeven te worden bij guest-accounts, dus dat je daarmee toegang tot een systeem hebt, lijkt me logisch. En als daar Exchange op staat, kan er gemailed worden, ja.

Je kunt wel op allerlei tooltjes gaan vertrouwen om te kijken of je security in orde is, maar daar mag een beheerder niet blind op varen. Een beheerder mag zeker wel de status van guest-, administrator-, service- en andere accounts nagaan na een worm van het kaliber van Code Red. Als die dan openstaan, tja, dan moet je ook niet huilen als er daarna alsnog ongeauthoriseerd toegang tot jouw systeem plaatsvindt. Hoe populair MS-bashen ook is.
daarom moet je ook je guest account blokeren

prutsers
wat ik dan niet snap: standaard staat de guest account UIT, en dat wil je ook echt zo houden ook, dat leer je al snel,

zijn die mensen dan zo slim om guest account 'aan' te zetten?
Sommige mensen die de samba functies willen gebruiken hebben dit misschien wel juist aan gezet.

Dat jij het niet gebruikt wil niet zeggen dat niemand het gebruikt!
En om nu shares aan te maken voor iedere gebruiker is ook zo veel werk. het guest account is hier juist erg handig voor.

onder linux wordt het nobody account toch ook gewoon gebruikt dit is erg handig! en zorgt juist voor extra veiligheid
onder linux wordt het nobody account toch ook gewoon gebruikt dit is erg handig! en zorgt juist voor extra veiligheid
valt nog te bezien... vaak wordt zo'n account voor meerdere dingen gebruikt en dat is juist slecht... als iemand iets kraakt wat onder dat account draait, ligt alles wat onder dat account draait aan z'n voeten. Voor elk doel een apart account gebruiken met zo min mogelijk privileges is het beste, helaas laten veel mensen dat na.
If you are using vulnerable versions of Exchange, and have been hit by a Code Red variant, you may want to insure your 'guest' accounts are still disabled.
Las het op /.
Dus blijkbaar zet Code Red dat guestaccount weer aan...
Dus blijkbaar gaat het alleen maar om exchange servers waarbij de admins stom genoeg waren om ze besmet te laten raken, en daarna stom genoeg waren om de besmetting niet goed ongedaan te maken.

Ik kan geen medelijden met ze hebben. Hadden ze hun werk maar beter moeten doen.
Zelfs als er niet ingelogd kan worden op de server, vangt de guestaccount de mail op en wordt deze verzonden.
:Z
en als je de guest account nou *disabled* zo als duinkonijn zegt is het opgelost.

Elk bedrijf wat serieus bezig is met security disabled de guest account. Ook de bedrijven die dat niet zijn, trouwens.

Oh. enne. Oud :z

click
het is niet het guest acount wat ze gebruiken maar een ander account wat helemaal niet in de server zit.

Ik heb al 2 exchange servers gehad die hierdoor getroffen zijn bijna tegelijkertijd.

Er werd een connectie gemaakt met een voor mij onbekende gebruiker. Ik heb een vermoeden dat ze inloggen met een account dat ze zelf hebben aangemaak op een eigen server ergens op internet.

bijvoorbeeld spammer@hackdomain.net hackdomain.net is het windows domein van de spammer en windows 2000 zoekt dan via DNS de server op die de wachtwoord authenticatie voor die gebruiker doet. En verder wordt er niet gekeken of dat domein wel of niet vertrouwd is.

Ik weet niet zeker of dat het lek is maar op de eerste server werd bij mij ingelogt onder de naam nemo en de tweede een andere naam (weet niet meer wat maar geen guest)

Ik heb nu op alle servers ' relay na authenticatie' in de SMTP servers uitgezet en niets meer gezien.
Idd het zit in exchange maar ook in exchange kan je gast gewoon uitzetten.
Bovendien is het in mijn ogen alleen veilig om exchange te gebruiken in combinatie met een degelijk internet filter dat dus ook als "mailserver" doorgeefluik alle mail filtert.
En dan was die spam al nooit bij de exchange server gekomen.

edit, gast accepteert dus alle namen die niet in de gebruikerslijst staan.
Microsoft meldt echter dat het hier om een relatief klein probleem gaat
Natuurlijk is het geen groot probleem.
Hoe later ze toegeven dat het een probleem is, hoe minder "days of threat" erachter zitten. :)
Maar goed, behalve wat verlies van bandbreedte en het risico dat je server door een spamfilter wordt geblocked zul je er niet snel schade van lijden.
Weinig schade? Vergeet niet dat in sommige staten in amerika er al flinke straffen staan op het versturen van spam, en ook in Nederland de wetgeving deze kant op gaat.
Vergeet niet dat als je eenmaal in een RBL komt te staan, dat je dan ook niet echt gezegend bent ;)

Neem nou als voorbeeld Osirusoft, die had 3/4 van azie in de banlist staan omdat daar gewoon veel spam vandaan kwam :P
Dus, een nieuwe spamfilter maken, die gewoon alle mails uit Azie blokkeert :Y)
Goed, ik bedoelde eigenlijk systeemtechnisch.
Je bedrijf zal niet plat liggen door dit foutje, in tegenstelling tot de "echte" gevaren, zoals de rcp-bug.

Maar even meer offtopic: zou je als bedrijf nu ook gepakt kunnen worden als buiten jouw schuld om iemand je server gebruikt om te spammen?
/nog meer offtopic

Als ik jouw auto jat en er iemand me over rij ben jij dan de schuldige ?

:Y)

Mensen moeten gewoon van jouw/bedrijfs spullen afblijven,
Ik hoef bij mij thuis toch ook geen kogelwerend glas/vuurmuurtjes te "instaleren".
Die klote scriptkiddies/crackers en rotzooi moet gewoon met hun poten van anderamns spullen afblijven.
kleine probleempjes worden groot wanneer ze ook groot gepresenteerd worden. Neem t.net nu, de gemiddelde bezoeker zal nu van deze 'bug/feature' op de hoogte zijn, en de spammer dus ook. Dat neemt natuurlijk niet weg dat 't nu de taak is aan de systeembeheerder die natuurlijk altijd alles netjes op orde heeft ... maar de systeem beheerder die dat dus niet doet, is nu een nieuwe 'klant' voor de spammer
Dat is nou net de instelling die mijn mailbox elke ochtend vult met 30 E-mails die ik niet nodig heb !
Dat is nou net de instelling die mijn mailbox elke ochtend vult met 30 E-mails die ik niet nodig heb !
Ik neem aan dat je het hebt over je mail via een internet-provider (msn/hotmail...etc.etc.)? via een exchange-server bij een bedrijf zelf zul je nooit veel spam ontvangen als je een beetje nette gebruikers hebt.

ligt er maar net aan waar je allemaal op internet loopt rond te klooien en waar je zomaar zonder er bij na te denken je email-adres invult op websites die er om vragen. Dat is vragen om spam, ik zou me geen andere reden kunnen bedenken.

Hier hebben de gebruikers (+/- 40) geen last van spam mail op heel af en toe een enkel mailtje na dan. En dat alles zonder spam filter!

edit:
GVD!!! wat nou off-topic? Ik geef gewoon een onderbouwde reactie op de reactie van een ander. en buiten dat heeft het ook nog met het onderwerp te maken.
Microsoft meldt echter dat het hier om een relatief klein probleem gaat en dat er weinig klachten over zijn geweest
tja... maar nu is het een groot probleem..
we wachten rustig op de patch :z
Laat ik nou denken dat die bagetaliserende instelling van microsoft eindelijk verdwenen was, maar hij is weer helemaal terug "het is geen fout, het is een feature!" :r
.. dan hoor ik graag wat jouw alternatief is.
Een exchange zit natuurlijk in een bedrijf, waar doodnormale mensen werken, die willen natuurlijk simpele clients hebben....
"If the guest account is enabled (on Exchange 5.5 and 2000), even if your login fails, you can send mail, because the guest account is there as a catchall," he said. "Even if you think you've done everything (to secure the server), you are still open to spammers."
Ja duh, wie zet dat nou aan.
Inderdaad, nogal een open deur van selfproclamed IT expert Aaron Greenspan. Ik vermoed dat hij gewoon druk bezig is middels wat extra publiciteit zijn bedrijfje Think Computer te promoten. :z

http://www.thinkcomputer.com/corporate/news/releases/11122003.html
Nogal veel tamtam in de pers aangekondigd, maar inhoudelijk gezien is het een storm in een glas water...
Inderdaad, in elk security best practice document wordt dit zwaar afgeraden en ik heb nog nooit met een omgeving te maken gehad waar dit aan stond, het is gewoon not done. Het is natuurlijk popie jopie om aan MS bashing te doen en ze hebben ook geen sterke reputatie op dat gebied maar laten we wel even hoofd en bijzaken uit elkaar houden
(maar ja blijkbaar is die insteek 'overbodig')
Nou maar hopen dat Microsoft zo snel mogelijk een eventuele (noodzakelijke) patch uitbrengt, anders halen ze hun eigen naam door het slijk.

Dit zijn precies van die momenten waarop Microsoft zijn woorden kan omzetten in daden.
En het zijn dus ook altijd die momenten warop MS zich weer eens ongeloofwaardig maakt. De 'days of threat'-teller staat nu al op 6 (en dan ga ik uit van de datum van het artikel op ZDNet...)

Als MS echt zaak maakt van beveiliging hadden ze dezelfde dag nog een patch/advisory uit kunnen brengen.
Er is niks te patchen. Vandaar dat er geen patch komt.

Dat guest account moet gewoon weer disabled worden en het is opgelost. En dat staat ook al in de knowledgebase.
De patch ben je ZELF als beheerder in dit geval, als je het guest account aanzet(wat je alleen maar in rare gevallen zult doen) ben je eigenlijk al verkeerd bezig en krijg je veel meer van deze lekken.

Dus een patch is helemaal niet nodig, ook kun je het guest account ontdoen van zijn mail rechten. :z
Het zou natuurlijk wel netjes zijn geweest als het Guest account default UIT had gestaan, ipv aan.
Ik merk toch dat voor een heleboel 'system admins' het begrip inrichten server niet verder gaat dan een CD er in mikken, Next->Next->Finish te drukken, en vervolgens de laatste updates op te halen.
Zaken als actief security policies instellen, registry wijzigingen doorvoeren om de beveiliging aan te scherpen en het hernoemen van administrator en guest accounts komt maar weinig voor.
Het zou natuurlijk wel netjes zijn geweest als het Guest account default UIT had gestaan, ipv aan.
En dat is dus ook zo, als je een schone Windows 2000 Server installeerd staat het guest account gedisabled, het account staat dus niet standaard aan.

Dat systeembeheerders die toch aan zetten (voor compabiliteit redenen meestal) kan voorkomen, maar dat zullen er niet veel zijn, vandaar dat MS van een klein probleem spreekt.

Dat het mogelijk is om zonder in te loggen toch mail via een Exchange server te versturen is slordig en dat zou standaard dus niet mogen. Ik ken weinig mail servers waar je zonder op in te loggen mail kan versturen en dat is ook een rare feature van Exchange.
Eigenlijk heeft het maar weinig met het Guest account te maken.

Het Code Red virus (ik zie het als een virus) werkt in 2 richtingen.

Je krijgt een e-mail aan dat iemand jouw een virtual card heeft verstuurd, eens geklikt op de link installeer het een programmatje dat keystrokes nakijkt. Zo zoekt hij jouw paswoord.

Dan als zij het paswoord hebben gaan ze beginnen spammen door de exchange server.

Guest account aan ja of neen, een slecht paswoord policy en lakse Internet Security laten ook veel te veel door!

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True