Microsoft: 80.000 Exchange-servere mangler stadig patches

Illustration: Beebright/Bigstock
Det er langt fra alle indehavere af sårbare Exchange-servere, der har installeret den seneste kritiske patch fra Microsoft.

80.000 servere verden over mangler stadig kritiske sikkerhedsopdateringer og er derfor fortsat ramt af de Exchange-sårbarheder, der lige nu martrer platformen. Det skriver Security Week.

Samtidig anslås det, at op mod 400.000 servere oprindeligt var påvirket af sårbarheden verden over - med andre ord mangler en femtedel stadig at patche, selvom Microsoft i flere omgange har markeret netop disse patches som absolut nødvendige.

Læs også: Stilheden før Exchange-stormen: »Vi forventer, at danske virksomheder bliver angrebet inden for et par uger«

»Den løbende efterforskning viser, at sårbarhederne bliver brugt af adskillige trusselsaktører. Mens det i sig selv ikke er nyt, er måden angrebene smyger sig uden om autentificering - og dermed opnår adgang til emails og remote code execution - særligt modbydelige,« siger sikkerhedsselskabet Palo Alto Networks til Security Week.

Læs også: Exchange-hackere slår til: Installerer ransomware og kræver løsesum

Selvom man bør patche med det samme, er en patch i sig selv ikke nok.

»Det, vi ser helt konkret lige nu, er, at vi har kunder, der er patchet, men som har bagdøre liggende. Det er altså et klart bevis på, at selvom du patcher serveren, kan du stadig være kompromitteret. Og er serveren fortsat vendt mod internettet, kan denne bagdør stadig blive kaldt,« siger Jacob Herbst, der som CTO i sikkerhedsselskabet forventer, at angriberne snart begynder at bruge bagdørene i blandt andet Danmark.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Martin Kofoed

Det er vel reelt slut for samtlige 400.000 exchange-maskiner. Man må formode (eller kan i hvert fald ikke afvise), at de alle er inficeret med en eller anden form for rootkit, som fortsat giver angriberne adgang.

Hvad værre er: på nogle installationer er det givetvis lykkes for angriberne at opnå domain admin rights. Guderne må vide, hvor meget skade der kan være sket i den forbindelse. Er man en biks, som har kinersernes interesse, så kan man vist godt operere ud fra, at de har været overalt.

  • 9
  • 2
#3 Anders Djursaa

At afvikle sin drift on-premice. Selom den foreliggende skandale har ramt bredt så vil Azure hurtigere og mere sikkert rydde op end de tusindevis af exchange servere som findes on-premice. Episoder som denne - skubber på den store overliggende trend. On-premise drift er langsomt, men sikkert, på vej til at blive et nicheområde for de få.

  • 1
  • 12
#4 Christian Nobel

At afvikle sin drift on-premice.

Hvorfor i alverden det - jeg vil da nærmere sige omvendt.

For hvis man selv har kontrol over tingene, så er det også nemmere at styre hvad der ikke fløjter rundt i skysovsen, som vi jo gentagende gange også har set er hamrende usikker, plus man kan segmentere sine netværker, holde internt fra eksternt mv.

Problemet ligger mere i en ukritisk tilbedelse af en usikker monokultur.

  • 10
  • 0
#5 Povl H. Pedersen

Når man mener impact kun var Exchange serverne, så er man enten blind eller dum. Microsoft har også lige patchet RCE bugs på DNS servere (typisk domain controllers). Både i Februar og Marts.

Så hvis Exchange server er ramt, så må man antage at hele domænet er ramt, medmindre man kan argumentere for andet. Og det er nok ret svært, da Exchange typisk skal have adgang til domain controllers.

Det er ofte problemet med Windows infrastuktur, det er så centraliseret, og bruger et shitload af porte, så det er svært at begrænse bevægelse rundt i miljøet.

  • 6
  • 1
#6 Morten Worm Due

Exchange kører kun på Windows. Og det er ikke Windows som sådan der er ramt - det er Exchange. Så nej, det løser ikke noget at køre Linux istedet, men det løser måske noget at køre noget andet groupware. Det nemmeste er nok bare at lade Microsoft tage sig af Exchange.

  • 2
  • 8
#7 Michael Hansen

Ja sådan går det desvære, man sidder dagligt og høre på folk fra andre afdelinger snakke og lave præsentationer om hvor fantastisk azure er i forhold til on premise.

Azure er så meget hurtigere end vores on premise løsninger:

  • Perf for perf er vores on prem ting langt hurtigere end selv de største VMs i azure (CPU/Disk/Net), men "i" har valgt dårlige løsninger on prem der ikke skalerer, det er ikke infra der har valgt hvad i kører på vores jern, i kunne vælge ordentlige løsninger der også, det er ikke infra der sætter en stopper for det.

    Oppetiden er langt bedre på azure:

  • Sammenligner æbler med pærer, en fuld skalerbar moderne løsning i azure vs en single point of failure single VM on prem, som i har ansvaret for at holde ved lige, men vælger ikke at gøre det.

Det er fedt Azure viser hvad alting koster i mindste detalje, men det er er godt nok dyrt (pyhh ha 😓), men vi aner ikke hvad vores ting koster on prem for det kan vi ikke se:

  • I ville ikke betale for løsninger der kunne vise i detaljer hvad hver ting koster on prem (hint, ikke engang 25% er flyttet til azure, men det er allerde dyrere end alt vi har on prem år for år i ren infrastruktur.
  • I sidder seriøst og snakker om hvor vigtigt det er for jer at slukke for ting efter i tager hjem fra kontoret og i weekenden for at "spare" i azure, mens i ingen skam har over at bede om VM efter VM on prem med 32 cores, 512G-1TB mem til BI ting der kører 24/7 med maks load når ingen bruger systemet, selv til dev/tst envs.

Infra har aldrig tid til at oprette ting for os:

  • pga i nægter at bruge de self service løsninger vi har lavet, så i selv kunne oprette ting med det samme, vi har endda automatiseret så mange ting, at vi har lavet en nem REST API i kunne bruge til at oprette de ting i skal bruge hvis i vil, i er jo udviklere?, men men ..

Ledere i forskellige afdelinger, vi skal altså have infra til at patche de her exchange servere puh ha det lyder ikke godt, vi må hellere sørge for at tjekke om CRM, ERP, Website ovs i hver sin afdeling skal patches med de der exchange patches?!?!?(no joke), det er virkelig også for dårligt infra ikke gør noget for os:

  • Derfor vi primært bruger o365, de eneste exchange servere vi har on prem, de er der kun pga. I ikke har tid efter gentagne gange at være bedt om at få migreret / flyttet jeres system/løsning væk fra dem de sidste 2 år, men de blev i øvrigt patchet få timer efter patchen var ude, for længe siden, mens der stadig kører mails rundt om at patche noget der allerede er patchet for længe siden, pga nogen der ikke aner en skid om ting, mener de skal blandes ind i det :D

Infra svarer aldrig på vores tickets:

  • I har valgt at spare og nægte at udvide infra, så der er 4 personer, i en virksomhed med >2000 ansatte i norden, der skal stå for alt infra, servere, netværk, end user devices, cloud infra (vnets, private links, policies, subscription mgmt), mens udviking, har hvad 40 personer ansat, ERP har 15, CRM har 5 ja fint ok..

Intet virker, infra gør noget!!!!:

  • I er velkommen til at oprette en ticket ved ms, vi har en god SLA på respons tid, men ikke rigtigt noget vi kan gøre når MS ikke svarer inden for den tid de skal?!?, men mon ikke de fikser det hurtigst muligt, ikke så meget infra kan gøre ved at aad authentication er nede i azure, det er jer der har pushet så meget på at få ting flyttet til nogle andres ansvar, såh de ting må i da have overvejet og tænkt over ?!?

Men synes det er fint nok der kommer mere fokus på folk der ikke aner en skid om hvad ting koster, nu finder ud af det, når ting bliver flyttet til azure, det er godt nok noget af en aha oplevelse for nogle.

Har som sådan ikke noget imod ting som o365, og cloud native løsninger, men bare hovedløst at ville flytte alt til "cloud" bare pga, er sku for dumt, specielt for ting der ikke er et issue on prem i dag.

Men det er nu sjovt så lidt travlt folk herude har det med ikke at flytte ting efter det er gået op for dem, at de selv skal stå for det hele, og selv skal stå for ansvaret i hver løsning/afdeling, da "infra" team'et er for lille, og ikke kan tage det ansvar på sig som tidligere da ting var on-prem. (infra i azure sammenhæng bliver udelukkende kode til opsætning af vnets, oprettelse af policies så folk ikke smider public IPs, og bruger de azure regions de skal, og rene "infra" services, som dns etc).

Sorry surt opstød fra en i et infra team, der er ved at være træt af cloud cloud cloud, pga cloud, for cloud er cool.

Nogen steder står det skidt til med infra, men sådan er det nu langt fra alle steder.

  • 8
  • 1
#8 Povl H. Pedersen

Cloud er fint til mange ting. Specielt fordi der er for få folk der kan drive ting on-prem. Der er masser af folk der kan trykke næste næste finsk, læne sig tilbage og vente på at det går ned, og så kalde det drift.

I SaaS cloud som Exchange ved man hvad man får (og skal være klar over hvad man ikke får), og man har som chef lagt ansvaret væk fra sit eget bord. Så selvom det er dyrere, så betaler man gerne for at slippe for aben. Og der er ingen der er blevet fyret for at købe Microsoft.

Jeg ved ikke om Exchange Online har noget somhelst med Windows at gære. I starten var det jo Linux, og så rettede de server headers til at melde Windows, men det var stadig Linux. Så kom der Powershell til Linux. Mon Exchange online er Liux eller Windows ? Det er muligt at det slet ikke har været ramt

  • 5
  • 0
#10 Maciej Szeliga
  • 5
  • 1
#12 Michael Cederberg

Ja sådan går det desvære, man sidder dagligt og høre på folk fra andre afdelinger snakke og lave præsentationer om hvor fantastisk azure er i forhold til on premise.

Ja der er mange tradeoffs. Men:

  • Det er sjældent at on-premise kan levere de samme selfservice muligheder som cloud løsninger.
  • Det er sjældent at on-premise kan skalere lige så hurtigt som cloud løsninger.
  • Det er sjældent at on-premise kan levere samme professionalisme når det handler om management af commodities så som Exchange eller OS. Ikke fordi de er dummere, men fordi cloud løsningerne kan bruge tid på at optimere deres operation med tooling fordi de har så stor volume.

Hvorvidt det er billigere kommer an på ret mange ting. Men hvis man kun skal bruge servere nogle timer om dagen så synes det klart billigere end at betale for dem 24h on-premise.

  • 1
  • 1
#14 Thomas Lund Nielsen

Det er et åbenlyst problem, at det er op til ejeren af en Windows Server at sikkerhedsopdatere, eller nærmere at udskyde sikkerhedsopdateringerne.

Hvis Azure giver mulighed for øjeblikkelig sikkerhedsopdatering - direkte styret af Microsoft - så kan hullerne lukkes nærmest i samme øjeblik som de opdages.

  • 1
  • 0
#15 Thomas Kjeldsen

Det er et åbenlyst problem, at det er op til ejeren af en Windows Server at sikkerhedsopdatere, eller nærmere at udskyde sikkerhedsopdateringerne.

Her svarer det vel til at en virksomhedsejer enten ikke er klar over at der er ild i butikken eller blot satser på at ilden går ud af sig selv.

Hvornår rykker brandvæsenet ud og slukker for strømmen, ups, jeg mener ilden?

  • 0
  • 2
#16 Maciej Szeliga

Hvis Azure giver mulighed for øjeblikkelig sikkerhedsopdatering - direkte styret af Microsoft - så kan hullerne lukkes nærmest i samme øjeblik som de opdages.

Det afh. helt af hvordan du vælger at køre dine ting, Azure er ikke nogen magisk løsning medmindre du vælger den magiske løsning - du kan lave helt alm. Windows maskiner i Azure og så skal du patche selv eller du kan vælge at køre instanser af for eksempel SQL server og så patcher Microsoft - men så vælger de også hvilken version det er.

Det samme kan du hos AWS så det er ikke noget "Microsoft only magic".

Det er valget mellem "jeg har friheden til at gøre hvad jeg vil når jeg vil" vs. "jeg vil lade nogen gøre det for mig når det passer dem" og ja, begge dele har fordele og ulemper.

  • 2
  • 0
#17 Michael Cederberg

Det er et åbenlyst problem, at det er op til ejeren af en Windows Server at sikkerhedsopdatere, eller nærmere at udskyde sikkerhedsopdateringerne.

Nogen gange giver opdateringer problemer. Mange sikkerhedsopdateringer kan godt vente nogle uger med at komme på. Så kan man rulle dem ud på en enkelt server først og se at det ikke giver problemer. Alas, det var ikke tilfældet her.

Under alle omstændigheder er autoopdateringer også noget man skal passe på. I Solarwinds situationen blev opdateringsmekanismen til en malware-spreder.

  • 1
  • 0
#18 Thomas Lund Nielsen

Under alle omstændigheder er autoopdateringer også noget man skal passe på. I Solarwinds situationen blev opdateringsmekanismen til en malware-spreder.

Enig, men nogle opdateringer kan være så kritiske, at tidsfaktoren er afgørende. Sådan lidt ligesom vaccinesituationen lige nu...

  • 1
  • 0
Log ind eller Opret konto for at kommentere