Just gestern bei einem der typischen “wir gehen all-in auf Microsoft” Unternehmen passiert: Meine Email kam nicht durch. Der Blick in die Fehlermeldung offenbart die Fehlkonfiguration des Mailservers. EMails werden “im Namen” des Absenders neu versendet, was natürlich an der gesetzten DMARC-Policy effektiv verhindert wird. Den gleichen Schmus versuchen auch Betrüger mit ihren Phishingversuchen. Meine Damen und Herren, das genau bekommt man geliefert, wenn man offenkundig von seinem Handwerk nichts versteht. Im Falle dieses einen besonderen Unternehmens bemerkenswert, da es kürzlich von einer Ransomware für mehrere Wochen “ausgeknipst” war. Der Trend geht bekanntlich zum Zweit- und Drittbefall bis irgendwann der Groschen fällt. Read more

Mit Ankündigung1 beginnt Proxyshell sein Wirken in der Exchange-Welt. Bereits zum Wochenende hat es über 1900 Server befallen2. Es sind hauptsächlich Systeme, die “On-Prem” von KMU oder Ihren IT-Systemhäusern betrieben werden. Zu den betroffenen Unternehmen sollen Bauunternehmen, Verarbeitungsbetriebe und sogar ein regionaler Flughafen zählen, so Heise3 und bezieht sich dabei auf den Sicherheitsexperten Kevin Beaumont4. Vor meinem geistigen Auge schweben die ersten Meldungen in den Medien, wo von Hackern und Erpressern in negativen Superlativen geschrieben wird. Wo sogenannte Admins, die nüchtern betrachtet nur bessere Microsoft-Produktbediener sind, als Retter in der Not gelobt werden, nur weil diese in Nacht- und Wochenendschichten “geplatzte” Netze wieder neu aufgesetzt haben. Read more

Es ist wieder soweit, das BSI gibt eine “Sicherheitsdurchsage”1 für alle Microsoft Exchange-Server Betreiber. Gleich mehrere Lücken (CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207) im Technologie-Stack von Microsoft führen zur Übernahme des Servers und in Folge des kompletten AD-Firmennetzwerks. Wie zuletzt im Frühjahr bei HAFNIUM2 werden wieder Regelsätze zum Auffinden bereits kompromittierter Systeme verteilt3. Obwohl die meisten Patches gegen “ProxyShell” bereits im Mai (z.B. mit dem CU20 für Exchange 2016) von Microsoft veröffentlicht wurden, sind diese längst nicht bei allen installiert. Der Sicherheitsforscher Kevin Beaumont spricht ohne Übertreibung bei seiner Präsentation4 auf der DefCon von einem “Tip of an Iceberg”. Nur wenige Tage später werden bereits die ersten automatisierten Scans auf “Proxyshell” festgestellt5. Die Landkarte betroffener Systeme spricht für sich: Read more

Heute frisch aus dem Ticker: RFC 8997 “Deprecation of TLS 1.1 for Email Submission and Access”1, endlich! Es ist kein Geheimnis, dass ich auf meinem Mailserver diese schon länger nicht mehr akzeptiert habe und damit nicht wirklich 100% RFC-konform war. Diese kleine Unanständigkeit ist beendet! Ich darf offiziell “any version of SSL or TLS earlier than TLS 1.2” ablehnen. Und noch ein kleines Detail. Ungültige oder falsche Server Zertifikate führen zur Unzustellbarkeit: Read more

Die Entwicklungen des Exchange HAFNIUM-Hacks sind haarsträubend. Mindestens zehn weitere Hacker-Gruppen sind zwischenzeitlich aufgesprungen. Zehntausende Server weltweit sind eine zu große Verlockung. “DearCry” heißt die erste Ransomware1. Im Klartext: Eine Tsunami-Welle rollt auf Microsoft AD-Netzwerke mit Exchange-Servern zu. Persönlich rechne ich ab diesem Wochenende mit der ersten Welle. Sie wird zuerst die Standard-Installationen befallen, wo die Hacker leichtes Spiel haben und anhand der Dokumente Ihre Ziele schnell identifizieren konnten. Ich tippe auf “lohnenswerte” - sprich zahlungsbereite - Behörden, Kommunen sowie große Unternehmen. Wahrscheinlich werden die Ziele noch manuell angegriffen da die benötigte Ransomware-Infrastruktur zum automatisierten Befall, Bezahlung und Entschlüsselung eingerichtet werden muß. Gleichzeitig herrscht unter den verschiedenen Hackergruppen ein harter Wettbewerb. Wer zuerst verschlüsselt, der gewinnt. Mit der zweiten Welle folgen die “low-hanging fruits”, die vielen namenlosen und automatisiert “abgefrühstückten” Server kleiner und mittlerer Unternehmen. Read more

Jeder mit einem im Internet betriebenen Microsoft Exchange-Server, Outlook Web Access (OWA) oder Exchange Active Sync (EAS) kann davon ausgehen, dass sein System seit Januar kompromittiert wurde. Das berichten Sicherheitsexperten wie Chris Krebs1 und Nachrichten-Magazine wie Golem2 oder Heise3. In Deutschland hat das BSI über 9.000 Unternehmen kontaktiert4. Die Tragweite der aktuellen Sicherheitslücken sind vergleichbar mit dem bisherigen Microsoft Super-GAU um Eternal-Blue5 und Wannacry6 vor 4 Jahren. Es ist nicht die erste Warnung vom BSI vor Microsoft Exchange7. Die Rufe erfolgen in immer kürzeren Intervallen mit immer höheren Schockwellen für die Betroffenen. Selbstverständlich sind Anti-Virus-Lösungen - Schlangenöl wie ich zu sagen pflege - kein wirksamer Schutz. Waren es noch nie in den vergangenen Jahrzehnten. Leider vertrauen noch immer zu viele IT-Verantwortliche diesem Geschäftsmodell. Read more

Binnen weniger Tage warnt die deutsche EU-Vertretung vor Phishing-Emails.1 Seit Juli 20202 ist das die 4. Warnung vor Datenklau von Reinhard Hönighaus, Pressesprecher und Leiter der Presse und Medienstelle. Offensichtlich gibt es einen dringenden Handlungsbedarf. In seiner aktuellen Warnung vom 26.11.2020, nur zwei Tage nach der Vorherigen, identifiziert er T-Online Nutzer als Ziel derartiger Phishing Mails und liefert auch gleich die Begründung: Wie bei einigen anderen Anbietern führt die Empfängerinfrastruktur hinter @t-online.de keine SPF-Prüfung durch. Read more

Dieses Wochenende war ich in Hinblick Sicherheit fleissig. Gleichzeitig habe ich mit Hardenize1 und DNSViz2 zwei schöne Tools zum Prüfen gefunden und meinen Micro-Blog Beitrag “Website-Qualität messen” ergänzt. Auf meinem Mailserver habe ich MTA-STA nach RFC 84613 inkl. Reporting implemetiert. Dieser Standard ist relativ neu (2018) und eignet sich gerade für jene Server ohne DANE4. Doch auch ohne DANE denke ich, dass ich den am besten und nach Standards vollständigsten Server (DKIM, SPF, DMARC, MTA-SRA, TLS-RPT, TLS1.3) in ganz Sieger- und Sauerland habe. Read more

40.000 Unternehmen allein in Deutschland betroffen Das BSI warnt mit der zweithöchsten Stufe “orange” (= Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs) öffentlich in den Medien1. Etwa 40.000 Unternehmen allein in Deutschland sind von mehreren kritischen Schwachstellen betoffen da Sicherheitsupdates bislang nicht installiert wurden2. Heise spricht gar vom Russisch-Roulette-Spielen3. Nicht ohne Grund warne ich seit mehreren Jahren vor einer zu engen Verzahnung von Microsoft AD und Internet-Funktionen. Dort wo Microsoft-Lösungen durch freie Standards und Systeme ersetzt werden können, sollte das umgehend geschehen. Doch viele hängen leider Ihre internen Dienste wie z.B. einen Exchange direkt “ins Internet” mitsamt OWA und EAS ganz ohne Firewalls, Mail-Gateways oder Reverse-Proxies. Im Normalfall leider absolut fahrlässig per Portweiterleitung. Read more

Ein weiterer Kunde aus dem Mittelstand (ca. 250 Benutzer verteilt über mehrere Standorte) ist aktuell dabei seine Exchange-Infrastruktur auf freie Software zu migrieren. Mit der schlüsselfertigen Einrichtung des neuen Linux-Mailservers habe ich meinen bescheidenen Beitrag dazu geleistet. Die übrige Einrichtung der Benutzer und die Datenmigration erfolgt von der eigenen IT-Abteilung des Kunden. Benutzer können weiterhin in Ihrer gewohnten Outlook-Umgebung und mobilen Clients arbeiten, wenn die neuen EAS-Accounts “side-by-side” zu den bestehenden Exchange-Konten ausgerollt werden. Von einer Sekunde auf die nächste kann ohne Downzeit nur durch Konfigurationswechsel am Reverse-Proxy und Mailgateway gewechselt werden. Aufwändige, kostenintensive und vor allem “harte” Exchange-Migrationswege entfallen. Read more