Op de maandelijkse patchdinsdag heeft Microsoft twee kritieke lekken gedicht, een in Macromedia Flash (die opmerkelijk genoeg door zowel Adobe als Microsoft van een patch wordt voorzien) en een in Microsoft Exchange. Dit lek kan ongepatchte Exchange 2000- en Exchange 2003-servers tot doelwit maken van wormschrijvers, zo waarschuwt beveiliger ISS. Het probleem zit hem in de kalenderfunctie van Exchange, en kan een aanvaller in staat stellen om door het sturen van een bericht dat is voorzien van een speciaal misbakken kalenderattachment, een DoS-aanval op te zetten of anderszins kwaadaardige code uit te voeren. Volgens ISS is het probleem van extra kritieke aard omdat er geen enkele gebruikersinteractie nodig is om het kwaad te doen geschieden, en is de bug daarom extra aantrekkelijk voor virusschrijvers. De kans is daarom groot dat er binnenkort een worm opduikt die zich via ongepatchte Exchange-servers verspreid, zo stelt ISS.
Ongepatchte Exchange-servers 'mogelijk wormdoelwit'
Door Mick de Neeve
Feedback • 10-05-2006 18:13 24Lees meer
Flash-bug maakt duizenden websites vatbaar voor aanval
Nieuws van 24 december 2007
Microsoft verwacht wormuitbraak
Nieuws van 11 augustus 2006
Yahoo pakt worm in maildienst aan
Nieuws van 14 juni 2006
Worm bestookt Yahoo Mail
Nieuws van 13 juni 2006
Grensoverschrijdend Javascript-lek ontdekt
Nieuws van 7 juni 2006
Out-of-cycle-patches Microsoft 'vermoedelijk vergissing'
Nieuws van 27 april 2006
Microsoft adviseert registerfix tegen patchproblemen
Nieuws van 18 april 2006
Nieuwste IE-patch zorgt voor problemen met applicaties
Nieuws van 15 april 2006
Microsoft patcht tien kritieke bugs, Eolas-patch ook in update
Nieuws van 12 april 2006
Microsoft overweegt snellere veiligheidspatches
Nieuws van 29 maart 2006
Steeds meer exploits Active Scripting-bug
Nieuws van 28 maart 2006
Symantec telt nu ook onbevestigde IE- en Firefox-bugs
Nieuws van 7 maart 2006
Microsoft brengt IE-patch uit om Eolas-patent te omzeilen
Nieuws van 1 maart 2006
Microsofts reactietijd op kritieke bugs geëvalueerd
Nieuws van 13 januari 2006
Microsoft vervroegt reparatie WMF-gat
Nieuws van 6 januari 2006
Reacties (24)
Volgens mij zullen sommige beheerders zich ook wel 3 keer achter hun oren krabben voor ze de patch op hun Exchange servers installeren.
Tegelijk met het uitkomen van het betreffende Security Bulletin is er namelijk ook een knowledge base article uitgekomen waarin er gemeld wordt dat de patches problemen opleveren met bepaalde mobile devices (zoals de blackberry). Aangezien dergelijke apparaten met Exchange moeten synchronizeren, en grote bedrijven ze vaak gebruiken, zal het kiezen worden tussen veiligheid of de business die bepaalde functionaliteit moet ontberen.
Zie
http://support.microsoft.com/kb/912918 en
http://www.security.nl/ar...osoft_Exchange_patch.html
voor meer informatie hierover...
Tegelijk met het uitkomen van het betreffende Security Bulletin is er namelijk ook een knowledge base article uitgekomen waarin er gemeld wordt dat de patches problemen opleveren met bepaalde mobile devices (zoals de blackberry). Aangezien dergelijke apparaten met Exchange moeten synchronizeren, en grote bedrijven ze vaak gebruiken, zal het kiezen worden tussen veiligheid of de business die bepaalde functionaliteit moet ontberen.
Zie
http://support.microsoft.com/kb/912918 en
http://www.security.nl/ar...osoft_Exchange_patch.html
voor meer informatie hierover...
/u/9170/got.JPG?f=community){kind=small}
euh, uit m'n hoofd, het KB artikel was toch van/tijdens SP1 en niet deze hotfix?
Volgens mij is dit wel te overkomen.
Gewoon in AD optie aanvinken bij de gebruiker and that's it.
Voor die "enkele"? gebruikers (bij ons toch) valt dat wel mee om 1-malig te doen.
Gewoon in AD optie aanvinken bij de gebruiker and that's it.
Voor die "enkele"? gebruikers (bij ons toch) valt dat wel mee om 1-malig te doen.
Ehm...
Sommige exchange beheerders zullen niet blij zijn, maar 3 keer achter hun oren krabben zullen ze niet doen...
De keus is nogal simpel:
1. Extra werk voor blackberry
2. over twee weken je servers down vanwege de onvermijdelijke worm die altijd op een security update van Microsoft volgt.
Dan is de keus snel gemaakt hoor!
Sommige exchange beheerders zullen niet blij zijn, maar 3 keer achter hun oren krabben zullen ze niet doen...
De keus is nogal simpel:
1. Extra werk voor blackberry
2. over twee weken je servers down vanwege de onvermijdelijke worm die altijd op een security update van Microsoft volgt.
Dan is de keus snel gemaakt hoor!
:strip_icc():strip_exif()/u/98843/tmpgeel601.jpg?f=community){kind=small}
@DENZ:
Volgens sommigen zal 't toeval zijn dat er problemen met de blackberry's onstaan... Toevállig een concurrent van MS
Volgens sommigen zal 't toeval zijn dat er problemen met de blackberry's onstaan... Toevállig een concurrent van MS
Ook wel toevallig dat die send-as wijziging in een security patch zit, die er op het eerste gezicht helemaal niets mee te maken heeft....
:strip_icc():strip_exif()/u/1850/crop668bec02ef9dd.jpg?f=community){kind=small}
Bij ons hebben we al twee keer gehad dat een Exchange 2003 server onbereikbaar werd na het installeren van een "patch". De eerste keer ging hij totaal op nul, de tweede verloren we "alleen maar" webmail functionaliteit.
Hier worden serverpatches tegenwoordig eerst een paar weken geobserveerd in een lab voor ze uitgerold worden.
Hier worden serverpatches tegenwoordig eerst een paar weken geobserveerd in een lab voor ze uitgerold worden.
Welke patches mogen dat dan zijn geweest?
Juist de Exchange patches heb ik nooit problemen mee gehad. Uiteraard testen we ze voor we ze uitrollen, maar een paar weken lijkt mij totaal overkill.
En in het geval van een vulnerability bovendien bloedlink omdat virusschrijvers juist met de info uit de security updates aan de slag gaan om virussen te schrijven. En dan meestal in twee weken tijd.
Dan kon jij wel eens mooi te laat zijn met je paar weken observatie...
Juist de Exchange patches heb ik nooit problemen mee gehad. Uiteraard testen we ze voor we ze uitrollen, maar een paar weken lijkt mij totaal overkill.
En in het geval van een vulnerability bovendien bloedlink omdat virusschrijvers juist met de info uit de security updates aan de slag gaan om virussen te schrijven. En dan meestal in twee weken tijd.
Dan kon jij wel eens mooi te laat zijn met je paar weken observatie...
Ik zie bij ons geen updates... maar goed heb ook geen macromedia er ooit op geinstalleerd (wie doet dat nou ook in godsnaam? is toch niet een machine normaal waar je normaal het internet mee gaat afstruinen)
De exchange-exploit staat los van die van Flash voor zover ik weet... op een server installeer je inderdaad geen flash maar op elke andere computer eigenlijk wel.
Het makkelijke in dit verhaal is wel: een Exchange server hangt per definitie wel aan een internet verbinding (uitzonderingen daargelaten), als standaard staat de windows update software aan op het al downloaden van de patches, rest er enkel nog een persoon die op de knop klikt van: installeer updates en Voila!
Wel opmerkelijk om te zien dat er een lek zat in Macromedia en dat dan Adobe én Microsoft met een patch komen, maar Macromedia zelf niet... klein beetje raar toch..
Wel opmerkelijk om te zien dat er een lek zat in Macromedia en dat dan Adobe én Microsoft met een patch komen, maar Macromedia zelf niet... klein beetje raar toch..
Exchange hangt toch echt meestal achter een SMTP relay, en automatische updates aanzetten op een server is ook niet echt iets wat je snel doet..
Als je blackberrys hebt moet je wel http://support.microsoft.com/kb/916803 lezen voordat je deze patch uitvoert
Als je blackberrys hebt moet je wel http://support.microsoft.com/kb/916803 lezen voordat je deze patch uitvoert
Als die relay z'n werk doet stuurt die gewoon netjes een mailtje met de worm door naar de Exchange server.
Er zit inderdaad vaak een antivirus tool op die relayserver, maar je moet maar hopen dat de nieuwe virusdefinitie eerder binnen is dan een eventueel virus.
Sinds loveletter vertrouw ik niet al te veel meer op de snelheid van de heren antivirusbakkers. ( lees: Norton )
Er zit inderdaad vaak een antivirus tool op die relayserver, maar je moet maar hopen dat de nieuwe virusdefinitie eerder binnen is dan een eventueel virus.
Sinds loveletter vertrouw ik niet al te veel meer op de snelheid van de heren antivirusbakkers. ( lees: Norton )
Kijk eens op http://www.macromedia.com ?
Macromedia is van Adobe 
Dus je zult maar weinig mer van Macromedia horen.
Dus je zult maar weinig mer van Macromedia horen.
:strip_icc():strip_exif()/u/14459/crop55e6af56794ff.jpeg?f=community){kind=small}
Ik denk niet dat er veel bedrijven zijn die de Windows Update functie aan hebben staan op een server... Als beheerder wil je controle hebben over wat er geïnstalleerd wordt op een server en wanneer. Er zal eerder handmatig gepatcht worden, of eventueel via een SUS of SMS systeem, waarmee je als beheerder kunt aangeven welke patches op welke machines geïnstalleerd worden en wanneer.
:strip_exif()/u/33008/rabbit2a.gif?f=community){kind=small}
Windows Update op automatisch downloaden maar handmatig installeren zetten kan ook hoor.. dan heb je ook controle over wat je installeert en wanneer.
Overigens heb ik deze patch niet gezien in Windows Update, was volgens mij alleen een losse download.
Overigens heb ik deze patch niet gezien in Windows Update, was volgens mij alleen een losse download.
Aangezien Macromedia sinds kort van Adobe is, is het niet zo raar dat de patch van Adobe komt imho.
edit: traag.. trager..
edit: traag.. trager..
Was Macromedia niet overgenomen door Adobe? Daardoor dat Adobe met de patch komt...
Zou men niet beter ineens de mogelijkheid tot reageren uitzetten voor dit artikel ?
Elke kritische posting zal toch weer direct als flame aanzien worden...
[edit] Knap, nu is het al een troll als je op voorhand zegt dat er hier weer een hoop kritische postings gaan weggepromoveerd worden...
Elke kritische posting zal toch weer direct als flame aanzien worden...
[edit] Knap, nu is het al een troll als je op voorhand zegt dat er hier weer een hoop kritische postings gaan weggepromoveerd worden...
Bij ons installeren ze nooit updates op servers... Zal er alvast maar voor zorgen dat offline werken mogelijk is :-)
Hebben 'ze' daar bij 'jullie' ook een goede reden voor?
Alleen al het feit dat het niet de eerste keer zou zijn dat een update een hele server down gooit ?
"Ongepatchte Exchange-servers 'mogelijk wormdoelwit'"
Da's dus een open deur intrappen
edit:
voor zover wormen kunnen trappen dan
Da's dus een open deur intrappen
edit:
voor zover wormen kunnen trappen dan
Op dit item kan niet meer gereageerd worden.