Zero Day Initiative: Exchange Vulnerabilities(?)

[testperson 1.910]

Hi,

 

gibt es hier irgendwie weitere Infos? Oder mache ich mir hier zu viele Sorgen?

 

• ZDI-23-1578 | Zero Day Initiative

  Zitat

  This vulnerability allows remote attackers to execute arbitrary code on affected installations of Microsoft Exchange. Authentication is required to exploit this vulnerability.

   

  The specific flaw exists within the ChainedSerializationBinder class. The issue results from the lack of proper validation of user-supplied data, which can result in deserialization of untrusted data. An attacker can leverage this vulnerability to execute code in the context of SYSTEM.

   

• ZDI-23-1579 | Zero Day Initiative
• ZDI-23-1580 | Zero Day Initiative
• ZDI-23-1581 | Zero Day Initiative

 

Beim Rest geht es immerhin nur um "This vulnerability allows remote attackers to disclose sensitive information on affected installations of Microsoft Exchange. Authentication is required to exploit this vulnerability.".

 

Gruß

Jan

[mwiederkehr 402]

"Authentication is required" steht auch beim ersten Link. Und Microsoft ist der Meinung, dass es kein "immediate servicing" braucht. Das beruhigt mich etwas. Wobei es mir nicht mehr ganz so wohl ist, wenn ich bedenke, wie viele schwerwiegende Lücken bei Exchange in den letzten paar Jahren entdeckt worden sind. Hoffentlich hilft die angekündigte "Secure Future Initiative" (natürlich mit KI!)...

[teletubbieland 221]

vor 2 Minuten schrieb mwiederkehr:

Und Microsoft ist der Meinung, dass es kein "immediate servicing" braucht. Das beruhigt mich etwas

 

 

[testperson 1.910]

vor 6 Minuten schrieb mwiederkehr:

"Authentication is required"

Ich vermute, es gibt genügend Quellen, wo sich passende Zugänge gegen Kohle kaufen lassen. Hier gibt es ja bspw. den ein und anderen Breach, wo E-Mail und Passwort abhanden gekommen sind: Have I Been Pwned: Pwned websites

[zahni 588]

Was wollt Ihr denn? Microsoft will die IT jetzt sicherer machen. Das passt schon.

 

https://www.heise.de/news/Microsoft-will-IT-Security-besser-machen-und-startet-Secure-Future-Initative-9352878.html

[mwiederkehr 402]

vor einer Stunde schrieb testperson:

Ich vermute, es gibt genügend Quellen, wo sich passende Zugänge gegen Kohle kaufen lassen. Hier gibt es ja bspw. den ein und anderen Breach, wo E-Mail und Passwort abhanden gekommen sind: Have I Been Pwned: Pwned websites

Das stimmt. Gegen gezielte Angriffe hilft "authentication required" nur sehr bedingt. Ich dachte eher an massenhafte "ich suche auf Shodan nach Exchange-Servern und lass mein Schrotflinten-Script feuern"-Angriffe.

 

vor einer Stunde schrieb zahni:

Was wollt Ihr denn? Microsoft will die IT jetzt sicherer machen. Das passt schon.

Schön wärs. Von dem, was ich bis jetzt über die SFI gelesen habe, bin ich nicht so begeistert. Es scheint um KI zu gehen, Telemetrie, Angriffe automatisch erkennen etc. Aber das ist immer Symptombekämpfung. Schnellere Update-Zyklen sind gut, Patches ohne Reboot, automatisch verteilte Mitigation-Rules im IIS etc. Aber eigentlich ist Software sicher, wenn sie sicher programmiert wurde. Dann braucht es auch keine dringenden Updates. Ich habe das Gefühl, die alten C++-Hasen mit diesem Denken sind weniger geworden und wurden durch Hipster ersetzt. Dann kommen Sachen wie Teams raus, eine JavaScript-Anwendung mit drangeklebter Browser-Engine. Das ist weder elegant noch sicher. Aber mal abwarten und den Tag nicht vor dem Abend kritisieren.

[MurdocX 1.007]

vor 16 Stunden schrieb mwiederkehr:

Schnellere Update-Zyklen sind gut

Puh.. Bist du dir da wirklich sicher? 😅 Ob das so eine gute Idee mag ich bezweifeln. 
 

Als Kunde könnte man, statt mit der Beta, auch mal mit der Alpha arbeiten 😆

[NorbertFe 2.328]

vor 40 Minuten schrieb MurdocX:

Ob das so eine gute Idee mag ich bezweifeln. 

Sicherlich besser als bei be-/erkannten Lücken auf den nächsten patchday zu warten.  Siehe Hafnium. Wer sich nicht selbst um seine Systeme kümmern kann oder will, sollte sie lieber nicht betreiben. ;)

[teletubbieland 221]

Das ärgerliche ist doch, dass ein ordentlicher Teil des Admin-Daseins darin besteht irgendwelche Lücken zu stopfen, die der Hersteller (egal welcher) verbockt hat.

 

[Nobbyaushb 1.609]

vor 17 Minuten schrieb teletubbieland:

Das ärgerliche ist doch, dass ein ordentlicher Teil des Admin-Daseins darin besteht irgendwelche Lücken zu stopfen, die der Hersteller (egal welcher) verbockt hat.

Das war aber schon immer so…

[MurdocX 1.007]

Das eine sind das die Patches bis zum nächsten Patchday erst veröffentlicht werden und bei den OEMs schon in der Verteilung sind. Das Andere, dass manche einfach gar keine Updates einspielen, selbst wenn die Server veröffentlicht sind und vom BSI einen Brief bekommen. Wieder andere setzen nur auf jedes zweite Service Pack/Version, denn das/die erste ist ja nie "gut".

 

Updates sind eine Philosophie. Man möge schon fast sagen: eine "Glaubensrichtung". 

[NorbertFe 2.328]

vor 23 Minuten schrieb MurdocX:

Updates sind eine Philosophie. Man möge schon fast sagen: eine "Glaubensrichtung". 

Nur wenn man eine draus macht. Eine Risikoabschätzung treffen (imho) viel zu wenige. Weder die, die sofort am besten auch Betas produktiv nutzen möchten, noch die mit Never Touch a Running System Mentalität. ;)

[teletubbieland 221]

vor 2 Stunden schrieb Nobbyaushb:

Das war aber schon immer so…

Aber das macht es doch nicht besser!

 

[Nobbyaushb 1.609]

vor 9 Minuten schrieb teletubbieland:

Aber das macht es doch nicht besser!

 

Stimmt, aber was hilft das jammern?
Als das MVP-Programm noch an den Support von MS angehängt war konnte man durchaus etwas ändern...
Seit das Programm am Sales hängt, hat sich vieles verändert, ich denke nur an die "Aufräum"-Aktion 2018 (Kopfschüttel..)
Heute gibt es zwar Uservoice aber wurde dadurch schon mal was geändert?

My 2 Cents...

[teletubbieland 221]

ich jammere ja auch nur ganz leise: Wenn die Alles richtig machen würden, wäre ich ja arbeitslos

 

Musste heute nur daran denken, wie sehr sich mein Berufsleben verändert hat.

Als ich Anfing, habe ich Hardware geflickt - heute ist das die Ausnahme. Jetzt flick ich meistens Software und kümmere mich um Menschen, die sagen "ich habe nix gemacht"