1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Proxylogon: Microsofts skandalöser…

Stellt sich aber die eine Frage:

Für Konsolen-Talk gibt es natürlich auch einen Raum ohne nerviges Gedöns oder Flamewar im Freiraum!
  1. Thema

Neues Thema Ansicht wechseln


  1. Stellt sich aber die eine Frage:

    Autor: bofhl 15.03.21 - 13:40

    Warum müssen OWA-Zugänge ohne vorgeschalteten Sicherheitszugang+Kontrolle einfach so ins Internet gestellt werden? Das sollte erstmal von den Verantwortlichen erklärt werden!

  2. Re: Stellt sich aber die eine Frage:

    Autor: ayngush 15.03.21 - 14:02

    bofhl schrieb:
    --------------------------------------------------------------------------------
    > Warum müssen OWA-Zugänge ohne vorgeschalteten Sicherheitszugang+Kontrolle
    > einfach so ins Internet gestellt werden? Das sollte erstmal von den
    > Verantwortlichen erklärt werden!

    Was soll denn "vorgeschalteten Sicherheitszugang+Kontrolle" in dem Zusammenhang sein?
    Was meinst du mit OWA-Zugang? Den Exchange-Account?

  3. Re: Stellt sich aber die eine Frage:

    Autor: bitshift 15.03.21 - 14:12

    ayngush schrieb:
    --------------------------------------------------------------------------------
    > Was soll denn "vorgeschalteten Sicherheitszugang+Kontrolle" in dem
    > Zusammenhang sein?
    > Was meinst du mit OWA-Zugang? Den Exchange-Account?

    wahrscheinlich ist z.B. VPN mit auth gemeint bevor man an interne Dienste kommt. OWA ist die Outlook Web Access, die Webmail-UI neben dem ECP für Admins. Wenn diese im Internet exponiert war, hatte man das Problem, sofern keine Angriffe "von innen" kamen.

  4. Re: Stellt sich aber die eine Frage:

    Autor: Michael H. 15.03.21 - 14:39

    bitshift schrieb:
    --------------------------------------------------------------------------------
    > ayngush schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Was soll denn "vorgeschalteten Sicherheitszugang+Kontrolle" in dem
    > > Zusammenhang sein?
    > > Was meinst du mit OWA-Zugang? Den Exchange-Account?
    >
    > wahrscheinlich ist z.B. VPN mit auth gemeint bevor man an interne Dienste
    > kommt. OWA ist die Outlook Web Access, die Webmail-UI neben dem ECP für
    > Admins. Wenn diese im Internet exponiert war, hatte man das Problem, sofern
    > keine Angriffe "von innen" kamen.

    So wie ich das verstanden habe, musste der Angreifer doch sowieso ein gültiges Exchangekonto in der jeweiligen Organisation besitzen um die Sicherheitslücke überhaupt auszunutzen.

    Heisst, wenn ich eine Firma hätte mit freigegebenem OWA, ohne gepatchte Sicherheitslücke, würde der Täter im Falle des Falles einer meiner Angestellten sein müssen, außer er kann sich die Zugangsdaten eines Mitarbeiters erschleichen.
    Erst sobald er im OWA angemeldet ist, kann er dort den für das ausnutzen dieser Lücke relevanten Code einschleusen.

    Daher wird hier meiner Meinung nach heisser gekocht als gegessen wird.
    Ja die Lücke ist kritisch. Aber es kann nur jemand sein, der ein gültiges Konto besitzt.
    Allein wenn jemand mir so schaden will, ist es also maximal jemand der gekündigt wurde oder kurz davor ist zu gehen. Erstere kann man ausschließen, wenn nach der Kündigung das AD Konto deaktiviert wird und letztere müssten sich erstmal IT technisch soweit auskennen, dass sie das ausnutzen könnten.
    Im Idealfall hocken aber die einzigen die das könnten auf der Administrativen Seite des Exchange und könnten hier auch ohne Sicherheitslücke entsprechenden Schaden verursachen.

    Und warum hängt man so einen Exchange bzw. OWA "ohne Sicherheitszugang" ins Netz. Also kA was für dich ein Sicherheitszugang sein soll. Aber wenn du ein VPN meinst, dann vermutlich, weil die Firma das Zeug einfach benutzen will. Heisst die wollen, dass die User sich mit E-Mail und Kennwort einfach im Outlook oder am Smartphone authentifizieren können sollen, ohne dass nochmal extra 5 Abfragen vorher gemacht werden müssen.

    Ist natürlich nicht so sicher wie wenn man erst ein extra VPN oder ähnliches benötigt, brauchste mir nicht sagen, ich fühl das, dass es natürlich nicht sicher ist, aber es ist bequem und einfach zu nutzen. Und es gibt so manche Firma, die will dass es einfach funktioniert. Auch wenn es total gegen deine Berufsethik geht... aber die wollen halt, dass die Leute einfach mail.domain.tld oder remote.domain.tld eingeben können sollen und im OWA sind, egal wo sie gerade auf der Welt sind. Die wollen, dass sie im Smartphone auf "Konto einrichten gehen" und dort dann die E-Mail Adresse eingeben und Autodiscover erledigt den Rest, sodass sie nur noch das Kennwort eingeben müssen. Die wollen dafür nicht jedes mal nen Admin abstellen müssen, der irgendwo was rumkonfiguriert, weil der Chef des Unternehmens sein E-Mail Postfach eben auch auf seinem privaten Smartphone haben will. Wenn der das will, dann ist das so.

    Viele Hotel-WLAN´s blocken auch gerne VPN Ports/Traffic. HTTPS Port 443 aber nicht, da er wie ne normale Website verwendet wird. Also funktioniert dort dann auch Outlook, das Smartphone und OWA, während es mit einer VPN Verbindung nicht immer funktioniert.
    Selbst so manche LTE Router/Modems lassen diverse VPN Verbindungen nicht durch.
    Wenn die Firma da spätestens nach der zweiten Dienstreise keine Mails empfangen kann, wird die dir auch sagen, dass es freigegeben werden soll, sodass es auch ohne VPN nutzbar ist.

    Ansonsten bietet aber Exchange auch eine 2-Faktor Auth.

  5. Re: Stellt sich aber die eine Frage:

    Autor: Quantium40 15.03.21 - 14:47

    Michael H. schrieb:
    > Heisst, wenn ich eine Firma hätte mit freigegebenem OWA, ohne gepatchte
    > Sicherheitslücke, würde der Täter im Falle des Falles einer meiner
    > Angestellten sein müssen, außer er kann sich die Zugangsdaten eines
    > Mitarbeiters erschleichen.

    Das Problem an der Stelle ist ja, dass die Hälfte der Zugangsdaten (Emailadresse) oft genug nach außen hin bekannt ist.
    Es fehlt ja nur das Passwort, welches sich innerhalb gewisser Grenzen durchprobieren lässt.

  6. Re: Stellt sich aber die eine Frage:

    Autor: Iruwen 15.03.21 - 15:21

    Michael H. schrieb:
    --------------------------------------------------------------------------------
    > So wie ich das verstanden habe, musste der Angreifer doch sowieso ein
    > gültiges Exchangekonto in der jeweiligen Organisation besitzen um die
    > Sicherheitslücke überhaupt auszunutzen.

    Nur bei 2010 weil das nur von einer Teillücke betroffen ist. 2013-2019 sind komplett offen, so konnte Hafnium ja geschätzt über 50000 Server angreifen.

  7. Re: Stellt sich aber die eine Frage:

    Autor: 1st1 15.03.21 - 16:51

    Wenn du auf ein OWA drauf gehst (üblicherweisse sowas wie webmail.firma.de oder owa.firma.de oder exchange.firma.de), wirst du als erstes nach AD-Benutzernamen und AD-Passwort gefragt. Eine Firma die was auf sich hält, hat da dann als Plugin noch einen zweiten Faktor ala RSA Secur-ID Token mit drin, oder neuerdings die MS-Authenticator-App.

    Normalerweise, wozu dann noch eine zusätzliche Login-Instanz davor?

    Wer rechnet denn damit, dass das Login-Interface vom Exchange kaputt ist?

    Das ist ja so, wie wenn der logon-Prompt vom Linux kaputt wäre, oder der von MacOS, oder der von Windows. Gibts ja garnicht...

  8. Re: Stellt sich aber die eine Frage:

    Autor: WillsWissen 15.03.21 - 21:14

    Michael H. schrieb:
    --------------------------------------------------------------------------------
    > bitshift schrieb:
    >
    > So wie ich das verstanden habe, musste der Angreifer doch sowieso ein
    > gültiges Exchangekonto in der jeweiligen Organisation besitzen um die
    > Sicherheitslücke überhaupt auszunutzen.

    Falsch verstanden.
    Der Attacker musste nur eine gültige Mail Adresse kennen bzw. verwenden. Ohne Kennwort.
    Fast auf jedem Mail-Server gibt es info@.... ;-)

  9. Re: Stellt sich aber die eine Frage:

    Autor: ldlx 15.03.21 - 22:22

    Z. B. ein Reverse-Proxy, der die Authentifizierung prüft und Anfragen auf bekannte Sicherheitslücken prüft, bevor auch nur ein Datenpaket an den Exchange weitergereicht wird. Das noch zusätzlich zum Zugriff im internen Netz oder VPN.



    1 mal bearbeitet, zuletzt am 15.03.21 22:23 durch ldlx.

  10. Re: Stellt sich aber die eine Frage:

    Autor: Michael H. 16.03.21 - 08:20

    WillsWissen schrieb:
    --------------------------------------------------------------------------------
    > Michael H. schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > bitshift schrieb:
    > >
    > > So wie ich das verstanden habe, musste der Angreifer doch sowieso ein
    > > gültiges Exchangekonto in der jeweiligen Organisation besitzen um die
    > > Sicherheitslücke überhaupt auszunutzen.
    >
    > Falsch verstanden.
    > Der Attacker musste nur eine gültige Mail Adresse kennen bzw. verwenden.
    > Ohne Kennwort.
    > Fast auf jedem Mail-Server gibt es info@.... ;-)

    Ah ok, das ändert natürlich ein wenig.
    Nvm

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Dynamit Nobel Defence GmbH, Berlin
  2. Henry Schein Dental Deutschland GmbH, Hamburg, Kiel
  3. Fraunhofer-Institut für Integrierte Schaltungen IIS, Nürnberg
  4. Interhyp Gruppe, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 8,75€
  2. 4,25


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme