testperson 1.677 Geschrieben 3. November 2023 Melden Teilen Geschrieben 3. November 2023 Hi, gibt es hier irgendwie weitere Infos? Oder mache ich mir hier zu viele Sorgen? ZDI-23-1578 | Zero Day Initiative Zitat This vulnerability allows remote attackers to execute arbitrary code on affected installations of Microsoft Exchange. Authentication is required to exploit this vulnerability. The specific flaw exists within the ChainedSerializationBinder class. The issue results from the lack of proper validation of user-supplied data, which can result in deserialization of untrusted data. An attacker can leverage this vulnerability to execute code in the context of SYSTEM. ZDI-23-1579 | Zero Day Initiative ZDI-23-1580 | Zero Day Initiative ZDI-23-1581 | Zero Day Initiative Beim Rest geht es immerhin nur um "This vulnerability allows remote attackers to disclose sensitive information on affected installations of Microsoft Exchange. Authentication is required to exploit this vulnerability.". Gruß Jan Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 3. November 2023 Melden Teilen Geschrieben 3. November 2023 "Authentication is required" steht auch beim ersten Link. Und Microsoft ist der Meinung, dass es kein "immediate servicing" braucht. Das beruhigt mich etwas. Wobei es mir nicht mehr ganz so wohl ist, wenn ich bedenke, wie viele schwerwiegende Lücken bei Exchange in den letzten paar Jahren entdeckt worden sind. Hoffentlich hilft die angekündigte "Secure Future Initiative" (natürlich mit KI!)... Zitieren Link zu diesem Kommentar
teletubbieland 167 Geschrieben 3. November 2023 Melden Teilen Geschrieben 3. November 2023 vor 2 Minuten schrieb mwiederkehr: Und Microsoft ist der Meinung, dass es kein "immediate servicing" braucht. Das beruhigt mich etwas 1 Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 3. November 2023 Autor Melden Teilen Geschrieben 3. November 2023 vor 6 Minuten schrieb mwiederkehr: "Authentication is required" Ich vermute, es gibt genügend Quellen, wo sich passende Zugänge gegen Kohle kaufen lassen. Hier gibt es ja bspw. den ein und anderen Breach, wo E-Mail und Passwort abhanden gekommen sind: Have I Been Pwned: Pwned websites Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 3. November 2023 Melden Teilen Geschrieben 3. November 2023 Was wollt Ihr denn? Microsoft will die IT jetzt sicherer machen. Das passt schon. https://www.heise.de/news/Microsoft-will-IT-Security-besser-machen-und-startet-Secure-Future-Initative-9352878.html Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 3. November 2023 Melden Teilen Geschrieben 3. November 2023 vor einer Stunde schrieb testperson: Ich vermute, es gibt genügend Quellen, wo sich passende Zugänge gegen Kohle kaufen lassen. Hier gibt es ja bspw. den ein und anderen Breach, wo E-Mail und Passwort abhanden gekommen sind: Have I Been Pwned: Pwned websites Das stimmt. Gegen gezielte Angriffe hilft "authentication required" nur sehr bedingt. Ich dachte eher an massenhafte "ich suche auf Shodan nach Exchange-Servern und lass mein Schrotflinten-Script feuern"-Angriffe. vor einer Stunde schrieb zahni: Was wollt Ihr denn? Microsoft will die IT jetzt sicherer machen. Das passt schon. Schön wärs. Von dem, was ich bis jetzt über die SFI gelesen habe, bin ich nicht so begeistert. Es scheint um KI zu gehen, Telemetrie, Angriffe automatisch erkennen etc. Aber das ist immer Symptombekämpfung. Schnellere Update-Zyklen sind gut, Patches ohne Reboot, automatisch verteilte Mitigation-Rules im IIS etc. Aber eigentlich ist Software sicher, wenn sie sicher programmiert wurde. Dann braucht es auch keine dringenden Updates. Ich habe das Gefühl, die alten C++-Hasen mit diesem Denken sind weniger geworden und wurden durch Hipster ersetzt. Dann kommen Sachen wie Teams raus, eine JavaScript-Anwendung mit drangeklebter Browser-Engine. Das ist weder elegant noch sicher. Aber mal abwarten und den Tag nicht vor dem Abend kritisieren. Zitieren Link zu diesem Kommentar
MurdocX 950 Geschrieben 4. November 2023 Melden Teilen Geschrieben 4. November 2023 vor 16 Stunden schrieb mwiederkehr: Schnellere Update-Zyklen sind gut Puh.. Bist du dir da wirklich sicher? 😅 Ob das so eine gute Idee mag ich bezweifeln. Als Kunde könnte man, statt mit der Beta, auch mal mit der Alpha arbeiten 😆 Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 4. November 2023 Melden Teilen Geschrieben 4. November 2023 vor 40 Minuten schrieb MurdocX: Ob das so eine gute Idee mag ich bezweifeln. Sicherlich besser als bei be-/erkannten Lücken auf den nächsten patchday zu warten. Siehe Hafnium. Wer sich nicht selbst um seine Systeme kümmern kann oder will, sollte sie lieber nicht betreiben. ;) Zitieren Link zu diesem Kommentar
teletubbieland 167 Geschrieben 4. November 2023 Melden Teilen Geschrieben 4. November 2023 Das ärgerliche ist doch, dass ein ordentlicher Teil des Admin-Daseins darin besteht irgendwelche Lücken zu stopfen, die der Hersteller (egal welcher) verbockt hat. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 4. November 2023 Melden Teilen Geschrieben 4. November 2023 vor 17 Minuten schrieb teletubbieland: Das ärgerliche ist doch, dass ein ordentlicher Teil des Admin-Daseins darin besteht irgendwelche Lücken zu stopfen, die der Hersteller (egal welcher) verbockt hat. Das war aber schon immer so… Zitieren Link zu diesem Kommentar
MurdocX 950 Geschrieben 4. November 2023 Melden Teilen Geschrieben 4. November 2023 Das eine sind das die Patches bis zum nächsten Patchday erst veröffentlicht werden und bei den OEMs schon in der Verteilung sind. Das Andere, dass manche einfach gar keine Updates einspielen, selbst wenn die Server veröffentlicht sind und vom BSI einen Brief bekommen. Wieder andere setzen nur auf jedes zweite Service Pack/Version, denn das/die erste ist ja nie "gut". Updates sind eine Philosophie. Man möge schon fast sagen: eine "Glaubensrichtung". Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 4. November 2023 Melden Teilen Geschrieben 4. November 2023 vor 23 Minuten schrieb MurdocX: Updates sind eine Philosophie. Man möge schon fast sagen: eine "Glaubensrichtung". Nur wenn man eine draus macht. Eine Risikoabschätzung treffen (imho) viel zu wenige. Weder die, die sofort am besten auch Betas produktiv nutzen möchten, noch die mit Never Touch a Running System Mentalität. ;) Zitieren Link zu diesem Kommentar
teletubbieland 167 Geschrieben 4. November 2023 Melden Teilen Geschrieben 4. November 2023 vor 2 Stunden schrieb Nobbyaushb: Das war aber schon immer so… Aber das macht es doch nicht besser! Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 4. November 2023 Melden Teilen Geschrieben 4. November 2023 vor 9 Minuten schrieb teletubbieland: Aber das macht es doch nicht besser! Stimmt, aber was hilft das jammern? Als das MVP-Programm noch an den Support von MS angehängt war konnte man durchaus etwas ändern... Seit das Programm am Sales hängt, hat sich vieles verändert, ich denke nur an die "Aufräum"-Aktion 2018 (Kopfschüttel..) Heute gibt es zwar Uservoice aber wurde dadurch schon mal was geändert? My 2 Cents... Zitieren Link zu diesem Kommentar
teletubbieland 167 Geschrieben 4. November 2023 Melden Teilen Geschrieben 4. November 2023 ich jammere ja auch nur ganz leise: Wenn die Alles richtig machen würden, wäre ich ja arbeitslos Musste heute nur daran denken, wie sehr sich mein Berufsleben verändert hat. Als ich Anfing, habe ich Hardware geflickt - heute ist das die Ausnahme. Jetzt flick ich meistens Software und kümmere mich um Menschen, die sagen "ich habe nix gemacht" 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.