Fouten in Microsoft Exchange helpen spammers

Een artikel op ZDNet meldt dat door een fout in Microsoft's Exchange-software spammers vrij spel hebben om een mailserver te gebruiken voor het versturen van spam. Aaron Greenspan van Think Computer kwam hierachter toen een mailserver van een klant spam begon te versturen. Het blijkt dat in Exchange 5.5 en 2000 een fout zit waardoor het mogelijk is om via de guestaccount anonieme mail te versturen. Zelfs als er niet ingelogd kan worden op de server, vangt de guestaccount de mail op en wordt deze verzonden. Op verschillende nieuwsgroepen van Microsoft staan berichten van systeembeheerders die vertellen dat hun mailservers spam versturen, zelfs al zijn de beveiligingen up-to-date. Microsoft meldt echter dat het hier om een relatief klein probleem gaat en dat er weinig klachten over zijn geweest:

Greenspan, however, argued that the problem has accounted for a large amount of unsolicited e-mail. He estimates that at least 100,000 messages spammers in China sent went through his client's server before he stopped the problem. He added that the issue is causing headaches for Exchange administrators. "It is really inexcusable for a company that claims security is its top priority," he said.

IT-banen

Reacties (60)

SubSpace

18 november 2003 22:03

Ik weet niet hoe ze het voor elkaar krijgen, maar als je Exchange goed configureert is dit toch echt niet het geval.

Ik heb een tijdje een Exchange 2000 server beheerd en de standaard instellingen zijn inderdaad vrij open, maar dat is zo veranderd, zodat een anonieme gebruiker alleen lokale mail kan sturen met de SMTP server..

Als ik het ZDnet artikel zo lees is het niet echt een security bug, gewoon een stelletje n00b admins

zneek @SubSpace • 18 november 2003 23:49

Ik heb zelf relaying uitgeschakeld. Alleen mail aangeboden door interne ip adressen wordt naar buiten gestuurd. Probleem ook opgelost toch?

Verwijderd @zneek • 19 november 2003 09:03

Nee, want dit is geen relayen. Dit is inloggen op de exchange-server en dan mail versturen. Als een user eenmaal aangemeld is op exchange, kan hij mailen naar wherever. En dat is kennelijk wat hier gebeurt.

Massiefje @zneek • 19 november 2003 09:02

Bijna, want hoe ga je dan om met de werknemers die via laptop in het buitenland mail willen ophalen/versturen ?

Daarom relay uiteraard aan, maar wel zorgen dat ze met geldige gebruikersnaam en wachtwoord gewoon mogen inloggen.

En dan komt dus het guest account weer opzetten. Als die er is en hij kan gebruikt worden........... etc etc

Garyu @Massiefje • 19 november 2003 12:09

Dat los je op met een VPN verbinding? Weet je zeker wie de mail verstuurt, en deze krijgt een intern e-mailadres. Natuurlijk is het een beetje een lomp middel voor het probleem, maar het lost wel meer problemen op, met name uiteraard beveiligingskwesties.

Verwijderd 19 november 2003 09:16

Als ik dit stukje zoals t.net het post lees, lijkt het alsof het een fout in Exchange betreft. Maar in de link staat duidelijk dat dit verschijnsel zich voordoet als de guest-account enabled is. Probleem is dus dat de guest-account enabled wordt door de Code Red worm, niet door Exchange of zo.

Volgens mij hoeft er per definitie geen wachtwoord opgegeven te worden bij guest-accounts, dus dat je daarmee toegang tot een systeem hebt, lijkt me logisch. En als daar Exchange op staat, kan er gemailed worden, ja.

Je kunt wel op allerlei tooltjes gaan vertrouwen om te kijken of je security in orde is, maar daar mag een beheerder niet blind op varen. Een beheerder mag zeker wel de status van guest-, administrator-, service- en andere accounts nagaan na een worm van het kaliber van Code Red. Als die dan openstaan, tja, dan moet je ook niet huilen als er daarna alsnog ongeauthoriseerd toegang tot jouw systeem plaatsvindt. Hoe populair MS-bashen ook is.

Duinkonijn 18 november 2003 21:43

daarom moet je ook je guest account blokeren

prutsers

richard_kraal @Duinkonijn • 18 november 2003 21:57

wat ik dan niet snap: standaard staat de guest account UIT, en dat wil je ook echt zo houden ook, dat leer je al snel,

zijn die mensen dan zo slim om guest account 'aan' te zetten?

Madcat @richard_kraal • 18 november 2003 22:02

Sommige mensen die de samba functies willen gebruiken hebben dit misschien wel juist aan gezet.

Dat jij het niet gebruikt wil niet zeggen dat niemand het gebruikt!
En om nu shares aan te maken voor iedere gebruiker is ook zo veel werk. het guest account is hier juist erg handig voor.

onder linux wordt het nobody account toch ook gewoon gebruikt dit is erg handig! en zorgt juist voor extra veiligheid

Sfynx @Madcat • 19 november 2003 19:20

onder linux wordt het nobody account toch ook gewoon gebruikt dit is erg handig! en zorgt juist voor extra veiligheid

valt nog te bezien... vaak wordt zo'n account voor meerdere dingen gebruikt en dat is juist slecht... als iemand iets kraakt wat onder dat account draait, ligt alles wat onder dat account draait aan z'n voeten. Voor elk doel een apart account gebruiken met zo min mogelijk privileges is het beste, helaas laten veel mensen dat na.

oVRoM @richard_kraal • 18 november 2003 22:40

If you are using vulnerable versions of Exchange, and have been hit by a Code Red variant, you may want to insure your 'guest' accounts are still disabled.

Las het op /.
Dus blijkbaar zet Code Red dat guestaccount weer aan...

mjtdevries @oVRoM • 19 november 2003 11:19

Dus blijkbaar gaat het alleen maar om exchange servers waarbij de admins stom genoeg waren om ze besmet te laten raken, en daarna stom genoeg waren om de besmetting niet goed ongedaan te maken.

Ik kan geen medelijden met ze hebben. Hadden ze hun werk maar beter moeten doen.

jp @Duinkonijn • 18 november 2003 21:48

Zelfs als er niet ingelogd kan worden op de server, vangt de guestaccount de mail op en wordt deze verzonden.

elevator @jp • 18 november 2003 21:50

en als je de guest account nou *disabled* zo als duinkonijn zegt is het opgelost.

Elk bedrijf wat serieus bezig is met security disabled de guest account. Ook de bedrijven die dat niet zijn, trouwens.

Oh. enne. Oud

click

pfismvg @elevator • 18 november 2003 22:27

het is niet het guest acount wat ze gebruiken maar een ander account wat helemaal niet in de server zit.

Ik heb al 2 exchange servers gehad die hierdoor getroffen zijn bijna tegelijkertijd.

Er werd een connectie gemaakt met een voor mij onbekende gebruiker. Ik heb een vermoeden dat ze inloggen met een account dat ze zelf hebben aangemaak op een eigen server ergens op internet.

bijvoorbeeld spammer@hackdomain.net hackdomain.net is het windows domein van de spammer en windows 2000 zoekt dan via DNS de server op die de wachtwoord authenticatie voor die gebruiker doet. En verder wordt er niet gekeken of dat domein wel of niet vertrouwd is.

Ik weet niet zeker of dat het lek is maar op de eerste server werd bij mij ingelogt onder de naam nemo en de tweede een andere naam (weet niet meer wat maar geen guest)

Ik heb nu op alle servers ' relay na authenticatie' in de SMTP servers uitgezet en niets meer gezien.

Verwijderd @elevator • 19 november 2003 14:48

Idd het zit in exchange maar ook in exchange kan je gast gewoon uitzetten.
Bovendien is het in mijn ogen alleen veilig om exchange te gebruiken in combinatie met een degelijk internet filter dat dus ook als "mailserver" doorgeefluik alle mail filtert.
En dan was die spam al nooit bij de exchange server gekomen.

edit, gast accepteert dus alle namen die niet in de gebruikerslijst staan.

Verwijderd 18 november 2003 22:09

Microsoft meldt echter dat het hier om een relatief klein probleem gaat

Natuurlijk is het geen groot probleem.
Hoe later ze toegeven dat het een probleem is, hoe minder "days of threat" erachter zitten.

Maar goed, behalve wat verlies van bandbreedte en het risico dat je server door een spamfilter wordt geblocked zul je er niet snel schade van lijden.

Verwijderd @Verwijderd • 18 november 2003 22:31

Weinig schade? Vergeet niet dat in sommige staten in amerika er al flinke straffen staan op het versturen van spam, en ook in Nederland de wetgeving deze kant op gaat.

_JGC_ @Verwijderd • 18 november 2003 23:23

Vergeet niet dat als je eenmaal in een RBL komt te staan, dat je dan ook niet echt gezegend bent

Neem nou als voorbeeld Osirusoft, die had 3/4 van azie in de banlist staan omdat daar gewoon veel spam vandaan kwam

YopY @_JGC_ • 19 november 2003 08:58

Dus, een nieuwe spamfilter maken, die gewoon alle mails uit Azie blokkeert

Verwijderd @Verwijderd • 18 november 2003 23:38

Goed, ik bedoelde eigenlijk systeemtechnisch.
Je bedrijf zal niet plat liggen door dit foutje, in tegenstelling tot de "echte" gevaren, zoals de rcp-bug.

Maar even meer offtopic: zou je als bedrijf nu ook gepakt kunnen worden als buiten jouw schuld om iemand je server gebruikt om te spammen?

Weezer-DC @Verwijderd • 19 november 2003 09:34

/nog meer offtopic

Als ik jouw auto jat en er iemand me over rij ben jij dan de schuldige ?

Mensen moeten gewoon van jouw/bedrijfs spullen afblijven,
Ik hoef bij mij thuis toch ook geen kogelwerend glas/vuurmuurtjes te "instaleren".
Die klote scriptkiddies/crackers en rotzooi moet gewoon met hun poten van anderamns spullen afblijven.

himlims_ @Verwijderd • 18 november 2003 22:53

kleine probleempjes worden groot wanneer ze ook groot gepresenteerd worden. Neem t.net nu, de gemiddelde bezoeker zal nu van deze 'bug/feature' op de hoogte zijn, en de spammer dus ook. Dat neemt natuurlijk niet weg dat 't nu de taak is aan de systeembeheerder die natuurlijk altijd alles netjes op orde heeft ... maar de systeem beheerder die dat dus niet doet, is nu een nieuwe 'klant' voor de spammer

Verwijderd @Verwijderd • 19 november 2003 08:34

Dat is nou net de instelling die mijn mailbox elke ochtend vult met 30 E-mails die ik niet nodig heb !

mister X630 @Verwijderd • 19 november 2003 09:43

Dat is nou net de instelling die mijn mailbox elke ochtend vult met 30 E-mails die ik niet nodig heb !

Ik neem aan dat je het hebt over je mail via een internet-provider (msn/hotmail...etc.etc.)? via een exchange-server bij een bedrijf zelf zul je nooit veel spam ontvangen als je een beetje nette gebruikers hebt.

ligt er maar net aan waar je allemaal op internet loopt rond te klooien en waar je zomaar zonder er bij na te denken je email-adres invult op websites die er om vragen. Dat is vragen om spam, ik zou me geen andere reden kunnen bedenken.

Hier hebben de gebruikers (+/- 40) geen last van spam mail op heel af en toe een enkel mailtje na dan. En dat alles zonder spam filter!

edit:
GVD!!! wat nou off-topic? Ik geef gewoon een onderbouwde reactie op de reactie van een ander. en buiten dat heeft het ook nog met het onderwerp te maken.

BasHouse 18 november 2003 21:42

Microsoft meldt echter dat het hier om een relatief klein probleem gaat en dat er weinig klachten over zijn geweest

tja... maar nu is het een groot probleem..
we wachten rustig op de patch

Roland684

Bedrijfsnieuws

@BasHouse • 19 november 2003 01:44

Laat ik nou denken dat die bagetaliserende instelling van microsoft eindelijk verdwenen was, maar hij is weer helemaal terug "het is geen fout, het is een feature!"

nAFutro @blade181 • 19 november 2003 08:21

.. dan hoor ik graag wat jouw alternatief is.
Een exchange zit natuurlijk in een bedrijf, waar doodnormale mensen werken, die willen natuurlijk simpele clients hebben....

Verwijderd 18 november 2003 22:23

"If the guest account is enabled (on Exchange 5.5 and 2000), even if your login fails, you can send mail, because the guest account is there as a catchall," he said. "Even if you think you've done everything (to secure the server), you are still open to spammers."

Ja duh, wie zet dat nou aan.

silvershadow449 @Verwijderd • 18 november 2003 22:30

Inderdaad, nogal een open deur van selfproclamed IT expert Aaron Greenspan. Ik vermoed dat hij gewoon druk bezig is middels wat extra publiciteit zijn bedrijfje Think Computer te promoten.

http://www.thinkcomputer.com/corporate/news/releases/11122003.html
Nogal veel tamtam in de pers aangekondigd, maar inhoudelijk gezien is het een storm in een glas water...

Verwijderd @silvershadow449 • 19 november 2003 08:02

Inderdaad, in elk security best practice document wordt dit zwaar afgeraden en ik heb nog nooit met een omgeving te maken gehad waar dit aan stond, het is gewoon not done. Het is natuurlijk popie jopie om aan MS bashing te doen en ze hebben ook geen sterke reputatie op dat gebied maar laten we wel even hoofd en bijzaken uit elkaar houden
(maar ja blijkbaar is die insteek 'overbodig')

SgtStrider 18 november 2003 21:50

Nou maar hopen dat Microsoft zo snel mogelijk een eventuele (noodzakelijke) patch uitbrengt, anders halen ze hun eigen naam door het slijk.

Dit zijn precies van die momenten waarop Microsoft zijn woorden kan omzetten in daden.

maxxware @SgtStrider • 19 november 2003 10:28

En het zijn dus ook altijd die momenten warop MS zich weer eens ongeloofwaardig maakt. De 'days of threat'-teller staat nu al op 6 (en dan ga ik uit van de datum van het artikel op ZDNet...)

Als MS echt zaak maakt van beveiliging hadden ze dezelfde dag nog een patch/advisory uit kunnen brengen.

mjtdevries @maxxware • 19 november 2003 11:30

Er is niks te patchen. Vandaar dat er geen patch komt.

Dat guest account moet gewoon weer disabled worden en het is opgelost. En dat staat ook al in de knowledgebase.

leon1e @Verwijderd • 18 november 2003 22:30

De patch ben je ZELF als beheerder in dit geval, als je het guest account aanzet(wat je alleen maar in rare gevallen zult doen) ben je eigenlijk al verkeerd bezig en krijg je veel meer van deze lekken.

Dus een patch is helemaal niet nodig, ook kun je het guest account ontdoen van zijn mail rechten.

Unipuma @leon1e • 18 november 2003 23:54

Het zou natuurlijk wel netjes zijn geweest als het Guest account default UIT had gestaan, ipv aan.
Ik merk toch dat voor een heleboel 'system admins' het begrip inrichten server niet verder gaat dan een CD er in mikken, Next->Next->Finish te drukken, en vervolgens de laatste updates op te halen.
Zaken als actief security policies instellen, registry wijzigingen doorvoeren om de beveiliging aan te scherpen en het hernoemen van administrator en guest accounts komt maar weinig voor.

Beaves @Unipuma • 19 november 2003 09:42

Het zou natuurlijk wel netjes zijn geweest als het Guest account default UIT had gestaan, ipv aan.

En dat is dus ook zo, als je een schone Windows 2000 Server installeerd staat het guest account gedisabled, het account staat dus niet standaard aan.

Dat systeembeheerders die toch aan zetten (voor compabiliteit redenen meestal) kan voorkomen, maar dat zullen er niet veel zijn, vandaar dat MS van een klein probleem spreekt.

Dat het mogelijk is om zonder in te loggen toch mail via een Exchange server te versturen is slordig en dat zou standaard dus niet mogen. Ik ken weinig mail servers waar je zonder op in te loggen mail kan versturen en dat is ook een rare feature van Exchange.

jurgenvdpol 19 november 2003 09:02

Oud nieuws hoor!
http://support.microsoft.com/?kbid=251149

tc982 19 november 2003 09:15

Eigenlijk heeft het maar weinig met het Guest account te maken.

Het Code Red virus (ik zie het als een virus) werkt in 2 richtingen.

Je krijgt een e-mail aan dat iemand jouw een virtual card heeft verstuurd, eens geklikt op de link installeer het een programmatje dat keystrokes nakijkt. Zo zoekt hij jouw paswoord.

Dan als zij het paswoord hebben gaan ze beginnen spammen door de exchange server.

Guest account aan ja of neen, een slecht paswoord policy en lakse Internet Security laten ook veel te veel door!

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (60)

Sorteer op:

Weergave: