testperson 1.549 Geschrieben 3. November 2023 Melden Teilen Geschrieben 3. November 2023 Hi,  gibt es hier irgendwie weitere Infos? Oder mache ich mir hier zu viele Sorgen?  ZDI-23-1578 | Zero Day Initiative Zitat This vulnerability allows remote attackers to execute arbitrary code on affected installations of Microsoft Exchange. Authentication is required to exploit this vulnerability.  The specific flaw exists within the ChainedSerializationBinder class. The issue results from the lack of proper validation of user-supplied data, which can result in deserialization of untrusted data. An attacker can leverage this vulnerability to execute code in the context of SYSTEM.  ZDI-23-1579 | Zero Day Initiative ZDI-23-1580 | Zero Day Initiative ZDI-23-1581 | Zero Day Initiative  Beim Rest geht es immerhin nur um "This vulnerability allows remote attackers to disclose sensitive information on affected installations of Microsoft Exchange. Authentication is required to exploit this vulnerability.".  Gruà Jan Zitieren Link zu diesem Kommentar
mwiederkehr 351 Geschrieben 3. November 2023 Melden Teilen Geschrieben 3. November 2023 "Authentication is required" steht auch beim ersten Link. Und Microsoft ist der Meinung, dass es kein "immediate servicing" braucht. Das beruhigt mich etwas. Wobei es mir nicht mehr ganz so wohl ist, wenn ich bedenke, wie viele schwerwiegende LĂŒcken bei Exchange in den letzten paar Jahren entdeckt worden sind. Hoffentlich hilft die angekĂŒndigte "Secure Future Initiative" (natĂŒrlich mit KI!)... Zitieren Link zu diesem Kommentar
teletubbieland 144 Geschrieben 3. November 2023 Melden Teilen Geschrieben 3. November 2023 vor 2 Minuten schrieb mwiederkehr: Und Microsoft ist der Meinung, dass es kein "immediate servicing" braucht. Das beruhigt mich etwas   1 Zitieren Link zu diesem Kommentar
testperson 1.549 Geschrieben 3. November 2023 Autor Melden Teilen Geschrieben 3. November 2023 vor 6 Minuten schrieb mwiederkehr: "Authentication is required" Ich vermute, es gibt genĂŒgend Quellen, wo sich passende ZugĂ€nge gegen Kohle kaufen lassen. Hier gibt es ja bspw. den ein und anderen Breach, wo E-Mail und Passwort abhanden gekommen sind: Have I Been Pwned: Pwned websites Zitieren Link zu diesem Kommentar
zahni 525 Geschrieben 3. November 2023 Melden Teilen Geschrieben 3. November 2023 Was wollt Ihr denn? Microsoft will die IT jetzt sicherer machen. Das passt schon. Â https://www.heise.de/news/Microsoft-will-IT-Security-besser-machen-und-startet-Secure-Future-Initative-9352878.html Zitieren Link zu diesem Kommentar
mwiederkehr 351 Geschrieben 3. November 2023 Melden Teilen Geschrieben 3. November 2023 vor einer Stunde schrieb testperson: Ich vermute, es gibt genĂŒgend Quellen, wo sich passende ZugĂ€nge gegen Kohle kaufen lassen. Hier gibt es ja bspw. den ein und anderen Breach, wo E-Mail und Passwort abhanden gekommen sind: Have I Been Pwned: Pwned websites Das stimmt. Gegen gezielte Angriffe hilft "authentication required" nur sehr bedingt. Ich dachte eher an massenhafte "ich suche auf Shodan nach Exchange-Servern und lass mein Schrotflinten-Script feuern"-Angriffe.  vor einer Stunde schrieb zahni: Was wollt Ihr denn? Microsoft will die IT jetzt sicherer machen. Das passt schon. Schön wĂ€rs. Von dem, was ich bis jetzt ĂŒber die SFI gelesen habe, bin ich nicht so begeistert. Es scheint um KI zu gehen, Telemetrie, Angriffe automatisch erkennen etc. Aber das ist immer SymptombekĂ€mpfung. Schnellere Update-Zyklen sind gut, Patches ohne Reboot, automatisch verteilte Mitigation-Rules im IIS etc. Aber eigentlich ist Software sicher, wenn sie sicher programmiert wurde. Dann braucht es auch keine dringenden Updates. Ich habe das GefĂŒhl, die alten C++-Hasen mit diesem Denken sind weniger geworden und wurden durch Hipster ersetzt. Dann kommen Sachen wie Teams raus, eine JavaScript-Anwendung mit drangeklebter Browser-Engine. Das ist weder elegant noch sicher. Aber mal abwarten und den Tag nicht vor dem Abend kritisieren. Zitieren Link zu diesem Kommentar
MurdocX 910 Geschrieben 4. November 2023 Melden Teilen Geschrieben 4. November 2023 vor 16 Stunden schrieb mwiederkehr: Schnellere Update-Zyklen sind gut Puh.. Bist du dir da wirklich sicher? đ Ob das so eine gute Idee mag ich bezweifeln.  Als Kunde könnte man, statt mit der Beta, auch mal mit der Alpha arbeiten đ Zitieren Link zu diesem Kommentar
NorbertFe 1.837 Geschrieben 4. November 2023 Melden Teilen Geschrieben 4. November 2023 vor 40 Minuten schrieb MurdocX: Ob das so eine gute Idee mag ich bezweifeln. Sicherlich besser als bei be-/erkannten LĂŒcken auf den nĂ€chsten patchday zu warten.  Siehe Hafnium. Wer sich nicht selbst um seine Systeme kĂŒmmern kann oder will, sollte sie lieber nicht betreiben. ;) Zitieren Link zu diesem Kommentar
teletubbieland 144 Geschrieben 4. November 2023 Melden Teilen Geschrieben 4. November 2023 Das Ă€rgerliche ist doch, dass ein ordentlicher Teil des Admin-Daseins darin besteht irgendwelche LĂŒcken zu stopfen, die der Hersteller (egal welcher) verbockt hat.  Zitieren Link zu diesem Kommentar
Nobbyaushb 1.377 Geschrieben 4. November 2023 Melden Teilen Geschrieben 4. November 2023 vor 17 Minuten schrieb teletubbieland: Das Ă€rgerliche ist doch, dass ein ordentlicher Teil des Admin-Daseins darin besteht irgendwelche LĂŒcken zu stopfen, die der Hersteller (egal welcher) verbockt hat. Das war aber schon immer so⊠Zitieren Link zu diesem Kommentar
MurdocX 910 Geschrieben 4. November 2023 Melden Teilen Geschrieben 4. November 2023 Das eine sind das die Patches bis zum nÀchsten Patchday erst veröffentlicht werden und bei den OEMs schon in der Verteilung sind. Das Andere, dass manche einfach gar keine Updates einspielen, selbst wenn die Server veröffentlicht sind und vom BSI einen Brief bekommen. Wieder andere setzen nur auf jedes zweite Service Pack/Version, denn das/die erste ist ja nie "gut".  Updates sind eine Philosophie. Man möge schon fast sagen: eine "Glaubensrichtung". Zitieren Link zu diesem Kommentar
NorbertFe 1.837 Geschrieben 4. November 2023 Melden Teilen Geschrieben 4. November 2023 vor 23 Minuten schrieb MurdocX: Updates sind eine Philosophie. Man möge schon fast sagen: eine "Glaubensrichtung". Nur wenn man eine draus macht. Eine RisikoabschÀtzung treffen (imho) viel zu wenige. Weder die, die sofort am besten auch Betas produktiv nutzen möchten, noch die mit Never Touch a Running System MentalitÀt. ;) Zitieren Link zu diesem Kommentar
teletubbieland 144 Geschrieben 4. November 2023 Melden Teilen Geschrieben 4. November 2023 vor 2 Stunden schrieb Nobbyaushb: Das war aber schon immer so⊠Aber das macht es doch nicht besser!  Zitieren Link zu diesem Kommentar
Nobbyaushb 1.377 Geschrieben 4. November 2023 Melden Teilen Geschrieben 4. November 2023 vor 9 Minuten schrieb teletubbieland: Aber das macht es doch nicht besser!  Stimmt, aber was hilft das jammern? Als das MVP-Programm noch an den Support von MS angehĂ€ngt war konnte man durchaus etwas Ă€ndern... Seit das Programm am Sales hĂ€ngt, hat sich vieles verĂ€ndert, ich denke nur an die "AufrĂ€um"-Aktion 2018 (KopfschĂŒttel..) Heute gibt es zwar Uservoice aber wurde dadurch schon mal was geĂ€ndert? My 2 Cents... Zitieren Link zu diesem Kommentar
teletubbieland 144 Geschrieben 4. November 2023 Melden Teilen Geschrieben 4. November 2023 ich jammere ja auch nur ganz leise: Wenn die Alles richtig machen wĂŒrden, wĂ€re ich ja arbeitslos  Musste heute nur daran denken, wie sehr sich mein Berufsleben verĂ€ndert hat. Als ich Anfing, habe ich Hardware geflickt - heute ist das die Ausnahme. Jetzt flick ich meistens Software und kĂŒmmere mich um Menschen, die sagen "ich habe nix gemacht" 1 Zitieren Link zu diesem Kommentar
Empfohlene BeitrÀge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich spÀter registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.