Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 24 reacties
Bron: BusinessWire

worm-pc Op de maandelijkse patchdinsdag heeft Microsoft twee kritieke lekken gedicht, een in Macromedia Flash (die opmerkelijk genoeg door zowel Adobe als Microsoft van een patch wordt voorzien) en een in Microsoft Exchange. Dit lek kan ongepatchte Exchange 2000- en Exchange 2003-servers tot doelwit maken van wormschrijvers, zo waarschuwt beveiliger ISS. Het probleem zit hem in de kalenderfunctie van Exchange, en kan een aanvaller in staat stellen om door het sturen van een bericht dat is voorzien van een speciaal misbakken kalenderattachment, een DoS-aanval op te zetten of anderszins kwaadaardige code uit te voeren. Volgens ISS is het probleem van extra kritieke aard omdat er geen enkele gebruikersinteractie nodig is om het kwaad te doen geschieden, en is de bug daarom extra aantrekkelijk voor virusschrijvers. De kans is daarom groot dat er binnenkort een worm opduikt die zich via ongepatchte Exchange-servers verspreid, zo stelt ISS.

Moderatie-faq Wijzig weergave

Reacties (24)

Volgens mij zullen sommige beheerders zich ook wel 3 keer achter hun oren krabben voor ze de patch op hun Exchange servers installeren.
Tegelijk met het uitkomen van het betreffende Security Bulletin is er namelijk ook een knowledge base article uitgekomen waarin er gemeld wordt dat de patches problemen opleveren met bepaalde mobile devices (zoals de blackberry). Aangezien dergelijke apparaten met Exchange moeten synchronizeren, en grote bedrijven ze vaak gebruiken, zal het kiezen worden tussen veiligheid of de business die bepaalde functionaliteit moet ontberen.

Zie
http://support.microsoft.com/kb/912918 en
http://www.security.nl/ar...osoft_Exchange_patch.html
voor meer informatie hierover...
euh, uit m'n hoofd, het KB artikel was toch van/tijdens SP1 en niet deze hotfix?
Volgens mij is dit wel te overkomen.
Gewoon in AD optie aanvinken bij de gebruiker and that's it.
Voor die "enkele"? gebruikers (bij ons toch) valt dat wel mee om 1-malig te doen.
Ehm...
Sommige exchange beheerders zullen niet blij zijn, maar 3 keer achter hun oren krabben zullen ze niet doen...

De keus is nogal simpel:
1. Extra werk voor blackberry
2. over twee weken je servers down vanwege de onvermijdelijke worm die altijd op een security update van Microsoft volgt.

Dan is de keus snel gemaakt hoor!
@DENZ:
Volgens sommigen zal 't toeval zijn dat er problemen met de blackberry's onstaan... Toevállig een concurrent van MS :P
Ook wel toevallig dat die send-as wijziging in een security patch zit, die er op het eerste gezicht helemaal niets mee te maken heeft....
Bij ons hebben we al twee keer gehad dat een Exchange 2003 server onbereikbaar werd na het installeren van een "patch". De eerste keer ging hij totaal op nul, de tweede verloren we "alleen maar" webmail functionaliteit.
Hier worden serverpatches tegenwoordig eerst een paar weken geobserveerd in een lab voor ze uitgerold worden.
Welke patches mogen dat dan zijn geweest?

Juist de Exchange patches heb ik nooit problemen mee gehad. Uiteraard testen we ze voor we ze uitrollen, maar een paar weken lijkt mij totaal overkill.

En in het geval van een vulnerability bovendien bloedlink omdat virusschrijvers juist met de info uit de security updates aan de slag gaan om virussen te schrijven. En dan meestal in twee weken tijd.
Dan kon jij wel eens mooi te laat zijn met je paar weken observatie...
Ik zie bij ons geen updates... maar goed heb ook geen macromedia er ooit op geinstalleerd (wie doet dat nou ook in godsnaam? is toch niet een machine normaal waar je normaal het internet mee gaat afstruinen)
De exchange-exploit staat los van die van Flash voor zover ik weet... op een server installeer je inderdaad geen flash maar op elke andere computer eigenlijk wel.
Het makkelijke in dit verhaal is wel: een Exchange server hangt per definitie wel aan een internet verbinding (uitzonderingen daargelaten), als standaard staat de windows update software aan op het al downloaden van de patches, rest er enkel nog een persoon die op de knop klikt van: installeer updates en Voila!

Wel opmerkelijk om te zien dat er een lek zat in Macromedia en dat dan Adobe én Microsoft met een patch komen, maar Macromedia zelf niet... klein beetje raar toch..
Exchange hangt toch echt meestal achter een SMTP relay, en automatische updates aanzetten op een server is ook niet echt iets wat je snel doet..

Als je blackberrys hebt moet je wel http://support.microsoft.com/kb/916803 lezen voordat je deze patch uitvoert
Als die relay z'n werk doet stuurt die gewoon netjes een mailtje met de worm door naar de Exchange server.

Er zit inderdaad vaak een antivirus tool op die relayserver, maar je moet maar hopen dat de nieuwe virusdefinitie eerder binnen is dan een eventueel virus.

Sinds loveletter vertrouw ik niet al te veel meer op de snelheid van de heren antivirusbakkers. ( lees: Norton )
Ik denk niet dat er veel bedrijven zijn die de Windows Update functie aan hebben staan op een server... Als beheerder wil je controle hebben over wat er geďnstalleerd wordt op een server en wanneer. Er zal eerder handmatig gepatcht worden, of eventueel via een SUS of SMS systeem, waarmee je als beheerder kunt aangeven welke patches op welke machines geďnstalleerd worden en wanneer.
Windows Update op automatisch downloaden maar handmatig installeren zetten kan ook hoor.. dan heb je ook controle over wat je installeert en wanneer.

Overigens heb ik deze patch niet gezien in Windows Update, was volgens mij alleen een losse download.
Macromedia is van Adobe :)
Dus je zult maar weinig mer van Macromedia horen.
Aangezien Macromedia sinds kort van Adobe is, is het niet zo raar dat de patch van Adobe komt imho.

edit: traag.. trager..
Was Macromedia niet overgenomen door Adobe? Daardoor dat Adobe met de patch komt...
Bij ons installeren ze nooit updates op servers... Zal er alvast maar voor zorgen dat offline werken mogelijk is :-)
Hebben 'ze' daar bij 'jullie' ook een goede reden voor?
Alleen al het feit dat het niet de eerste keer zou zijn dat een update een hele server down gooit ?
Zou men niet beter ineens de mogelijkheid tot reageren uitzetten voor dit artikel ?

Elke kritische posting zal toch weer direct als flame aanzien worden...

[edit] Knap, nu is het al een troll als je op voorhand zegt dat er hier weer een hoop kritische postings gaan weggepromoveerd worden...
"Ongepatchte Exchange-servers 'mogelijk wormdoelwit'"
Da's dus een open deur intrappen :+

edit:
voor zover wormen kunnen trappen dan ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True