Hallo,
aktuell gibt es viele Artikel wie diesen bei Heise: https://www.heise.de/news/Exchange-Luecken-BSI-sieht-hierzulande-zehntausende-Server-betroffen-5073716.html
Dazu habe ich Fragen, die ich nicht verstehe:
Wie funktioniert diese Lücke obwohl ein Reverse Proxy mit Pre Authentifikation vor dem Exchange ist? Wie zuverlässig kann ich feststellen, ob mein System bereits betroffen ist? Es wird davon gesprochen, dass die Lücke bereits seit geraumer Zeit genutzt wurde, bevor der Patch bereitgestellt wurde.
Vielen Dank und ein schönes Wochenende!
Hallo Frank,
wenn der Reverse Proxy die Authentifizierung durchführt, dann funktioniert dieser Exploit nicht. Wenn der Reverse Proxy korrekt konfiguriert ist, dann kommt man an diesem ja ohne Authentifizierung nicht vorbei. Aktuell hast du allerdings unter Umständen ein Problem wenn der Reverse Proxy eine F5 ist.
Gruß,
Frank
Hallo,
danke für deine Antwort, nein, keine F5. Ich habe es gestern gelesen, nicht was ich wem wünsche. Ich nutze den Kemp, ich glaube ich bin auch wegen dir zu ihm gekommen. Schade finde ich immer noch das MS den TMG nicht fortgeführt hat, ich hatte es nicht verstanden. Es passt aber zu 365 und dem, dass Teile oder der ganze Exchange zu MS wandert. Beobachte das erste Projekt in meinem Umfeld, erster Eindruck ist, das es teurer wird wegen der Lizenzen. Mich stört es die Kontrolle wegzugeben. Aus Sicht des Neerd sehr cool, aber doch große Vorbehalte.
Danke für deine Seite,
Grüße, Frank
Servus,
in deinem Fall müsstest du dann ESP entsprechend konfiguriert haben. Wenn du die zusätzlich die Kemp WAF einsetzt, könnte diese evtl. auch schon entsprechende Regeln zur Erkennung haben, da bin ich mir aber nicht sicher.
Gruß,
Frank
Ja, ich bin aber recht entspannt weil ich nur ActiveSync und OWA durchreiche, die anderen Verzeichnisse nicht. Außerdem ist der Zugriffe über Geoblocking auf wenige Länder begrenzt. Die Angriffe scheinen ja nicht aus DE oder BeNeLux zu kommen. Über Geoblocking habe ich schon oft diskutiert, ich denke aber das es, auch wenn nicht viel, Angriffe abfängt. Es hat gedauert, besonders weil z.B. IP/ FQDN von bestimmten Sotfware Update explizid freigegeben werden müssen, nach ein paar monaten war das aber gegessen. Ich denke das ist ein guter Weg für Unternehmen die nicht Weltweit agieren.
Grüße, Frank
Ich habe mal eine grundätzliche Frage:
Microsoft behauptet, ihr Cloud-Exchange sei nicht von den Lücken betroffen.
Das kann man glauben oder auch nicht.
Warum ist das so?
Ist die Cloud-Codebasis inzw. so weit entfernt von der on-premise Variante, liegt das evtl. an der Lastverteilung (Load balancing), am Proxy oder ist das schlicht Unsinn?
Hallo,
ich denke das MS in einer anderen Liga spielt. Das, was sie am Tag für Security ausgeben ist sicher deutlich höher als das, was wir (mein Arbeitgeber) in 10 Jahren für EDV ausgibt. Ich finde es interssant wie und mit welchen Mitteln sie Last bei Angriffen bewältigen können.
Grüße
Das ist klar, aber die Aussage, dass die Cloudvariante nicht von den Lücken betroffen sei, ist doch an sich bemerkenswert.
Offenbar sind ja naben OWA und ECP auch ActiveSync und Unified Messaging die Angrifssvektoren. Oder war die Cloudvariante auch betroffen und wurde nur „rechtzeitig“ gefixt?
Microsoft behauptet, ihr Cloud-Exchange sei nicht von den Lücken betroffen.
Die hatten ja auch schon etwas länger Zeit und im Allgemeinen würde man bei der Dimension der Installation natürlich auch ein wenig andere Detectionsmechanismen erwarten.