Beiträge

Zerologon-Lücke im Windows Server wird attackiert – jetzt patchen

Windows Server Admins sollten ihre Windows Server Systeme mit den Versionen Windows Server 2008 und neuer dringend updaten. Die unter der Schwachstelle CVE-2020-1472 dokumentierte Lücke ermöglicht es Angreifern unter bestimmten Voraussetzungen, ohne Verwendung von Benutzernamen und Kennwort Vollzugriff auf Windows Server Systeme zu erhalten. Zwar hat Microsoft bereits im August im Rahmen seines Patchdays ein Update zur Behebung des Problems ausgespielt, dennoch wurden im September erste Angriffe entdeckt, die diese Sicherheitslücke ausnutzen. Microsoft stuft die Schwachstelle mit dem höchstmöglichen CVSS Score 10 von 10 ein.

Jetzt Server absichern

Sollten Sie noch kein Update Ihrer Windows Server Systeme durchgeführt haben so raten wir dringend dazu, dieses jetzt durchzuführen. Weitere Informationen hat Microsoft in hier bereitgestellt. Natürlich unterstützen wir Sie gerne bei Durchführung der entsprechenden Updates.

Sie sind netgo managed Kunde?

In diesem Fall brauchen Sie nichts zu tun. Ihr Technical Account Manager wird Kontakt zu Ihnen aufnehmen und mit Ihnen den Update-Prozess besprechen und durchführen.

Fragen?

Bei Fragen sind wir natürlich gern für Sie da:

t. +49 2861 80847 300

e. support@netgo.de

Moderne Authentifizierung für den modernen Arbeitsplatz

Nutzen Sie in Ihrem Office 365 Tenant noch die „Basis Authentifizierung“ oder schon die „Moderne Authentifizierung“, insbesondere in Zusammenhang mit Exchange Online und dessen Protokollen wie beispielsweise Active Sync oder IMAP?

Falls Sie sich gerade fragen, was denn genau der Unterschied ist und sich bisher noch keine Gedanken zu dem Thema gemacht haben, dann sollten Sie jetzt handeln. Gerade auch langjährige Kunden, deren Office 365 Umgebungen schon vor August 2017 erstellt wurden, sind voraussichtlich betroffen.

Basis Authentifizierung versus moderne Authentifizierung

Als Basis Authentifizierung oder auch Legacy Authentifizierung wird eine alte Methode bezeichnet, mit der Clients und User sich an Office 365 Diensten, wie beispielsweise Exchange Online oder auch SharePoint Online, anmelden können. Dabei werden bei jeder Anmeldung Username und Passwort übermittelt.
Die moderne Authentifizierung hingegen verwendet neue Methoden und Standards wie OAuth 2.0 Token und die Active Directory Authentication Library (ADAL) zur Authentifizierung.

Die Basis Authentifizierung stellt ein zunehmendes Sicherheitsrisiko und Einfallstor für Hacker dar, denn über diesen Weg können aktuelle Sicherheitsmechanismen wie beispielsweise Multi-Faktor Authentifizierung nicht erzwungen werden. Aktuelle Auswertungen von Microsoft bestätigen dieses Risiko:

  • Mehr als 99 Prozent der Kennwort-Spray-Angriffe verwenden Legacyauthentifizierungsprotokolle
  • Mehr als 97 Prozent der Angriffe in Bezug auf Anmeldeinformationen verwenden die Legacy-Authentifizierung
  • Bei Azure AD-Konten in Organisationen, welche die Legacyauthentifizierung deaktiviert haben, sind 67 Prozent weniger Angriffe festzustellen als bei Organisation mit aktivierter Legacy-Authentifizierung

(Quelle)

Die moderne Authentifizierung hingegen ermöglicht die Nutzung und Erzwingung aller Sicherheitsfunktionen des Azure AD, wie u.a. Bedingter Zugriff oder eben die Multi-Faktor Authentifizierung.

Basis Authentifizierung adé

Auch Microsoft möchte dieses Risiko weiter reduzieren, indem ab Oktober die Basis Authentifizierung für ungenutzte Protokolle abgeschaltet werden soll. Mittelfristiges Ziel ist aber die komplette Deaktivierung der Methode. Daher sollten Sie frühzeitig mit einem geregelten Umstieg beginnen, um nicht irgendwann in Zugzwang zu geraten. Gerne unterstützen wir Sie bei der Analyse und dem störungsfreien Umstieg auf die moderne Authentifizierung.

TeamViewer Sicherheitslücke jetzt schließen

Die weltweit beliebte Fernwartungs-Software TeamViewer weist in älteren Versionen eine gefährliche Sicherheitslücke auf. Diese ermöglicht es Angreifern, unter bestimmten Voraussetzungen die Fernsteuerung zu übernehmen und sich somit Zugriff auf Windows-Rechner zu verschaffen.

Verwundbare TeamViewer Versionen

Betroffen sind folgende Versionen:

  • alle 8er-Versionen vor 8.0.258861
  • alle 9er-Versionen vor 9.0.258860
  • alle 10er-Versionen vor 10.0.258873
  • alle 11er-Versionen vor 11.0.258870
  • alle 12er-Versionen vor 12.0.258869
  • alle 13er-Versionen vor 13.2.36220
  • alle 14er-Versionen vor 14.7.48350 und
  • alle 15er-Versionen vor 15.8.3.

Jetzt prüfen und updaten

TeamViewer hat die Sicherheitslücke in neueren Versionen inzwischen durch Updates geschlossen. Diese müssen aber in der Regel manuell installiert werden.

Wir raten Ihnen dringend:

  • Prüfen Sie umfassend, ob TeamViewer als Host-Variante in einer der oben genannten Versionen auf Ihren Server- oder Clientsystemen installiert ist.
  • Führen Sie ein Update auf eine nicht betroffene Version aus oder deinstallieren Sie den Teamviewer Host-Service komplett, falls sie ihn nicht mehr auf dem System bzw. den Systemen benötigen.

Eine ausführliche Anleitung über das Durchführen des Updates stellt TeamViewer in seiner Knowledge Base zur Verfügung.

Sollten Sie Fragen haben oder Unterstützung benötigen, helfen wir Ihnen selbstverständlich gern weiter. Richten Sie Ihre Fragen gerne per E-Mail an support@netgo.de oder telefonisch an 02861 / 80 84 7 300.

Microsoft stellt Authentifizierung auf LDAPs um – Was Sie darüber wissen sollten

Microsoft plant ein Sicherheitsupdate für Windows Server ab Version 2008 zu veröffentlichen, welches durch die Aktivierung von LDAPs (LDAP over SSL) anstatt LDAP die Nutzung des Protokolls sicherer machen soll. Mit dem Update will Microsoft LDAPs als Standardeinstellung setzen und damit die LDAP-Signaturhärtung und LDAP-Kanalbindung aktivieren.

Dies setzt voraus, dass Ihre Systeme, die das LDAP Protokoll verwenden, ebenfalls für LDAPs vorbereitet sind. Andernfalls werden viele Systeme sich nicht an Ihrer Windows Domäne authentifizieren können.

Das für Ende 2019 geplante Update wurde von Microsoft zunächst auf die 2. Jahreshälfte 2020 verschoben und vor Kurzem auf „in absehbarer Zeit“ vertagt. Wir gehen davon aus, dass das Update früher oder später durch Microsoft freigegeben wird. Sie und Ihre IT-Umgebung sollten darauf vorbereitet sein, um nicht von den Auswirkungen des Updates überrascht zu werden.

Was ist LDAP?

LDAP ist die Abkürzung für „Lightweight Directory Access Protocol“ und beschreibt ein Netzwerkprotokoll, das zur Durchführung von Abfragen und Änderungen des Microsoft Active Directory auf Windows Domänencontrollern eingesetzt wird.“ Damit LDAP fehlerlos funktioniert, tauschen alle Systeme, die an der Abfrage beteiligt sind, auf Port 389 über eine ungesicherte Übertragung Daten aus.

LDAP birgt Sicherheitsrisiko

Schickt ein System oder eine Applikation automatisiert eine LDAP Abfrage oder wird einem Nutzer eine Anmeldeseite gezeigt, die er mit Usernamen und Passwort bedient, dann werden die Daten mittels LDAP-Abfrage unverschlüsselt an das Active Directory weitergegeben. Die Userkennung wird in der Folge überprüft. Wird der Netzwerkverkehr von einem Angreifer per Man-in-the-Middle-Angriff mitgeschnitten, dann können Passwörter von allen Nutzern, die am Netzwerkverkehr beteiligt sind, ausgelesen werden. Der Angreifer könnte sogar die Abfragen zwischen Active Directory und Applikation nach seinen Wünschen modifizieren. Dadurch kann der Angreifer auf das System Zugriff erhalten.

LDAPS soll zum Standard werden

Das unsichere LDAP-Protokoll wird durch LDAPS abgelöst. LDAPS ist die Abkürzung für „Lightweight Directory Access Protocol over Secure Sockets Layer (SSL)“. Die Kommunikation zwischen Sender und Empfänger findet Dank SSL/TLS verschlüsselt statt. Zusätzlich kann eine zertifikatsbasierende Authentifizierung der Kommunikationspartner stattfinden.

Welche Systeme sind betroffen?

Es sind alle Systeme und Applikationen durch das Update betroffen, die LDAP-Anfragen an das Active Directory einer Windows Domäne stellen. Dazu zählen u.a. folgende Systeme:

  • Web-Services
  • Proxy Server und Firewalls
  • Storage Management Login
  • VMware mit LDAP Anbindung
  • Call Center Software (CTI), z.B. Swyx/Netphone
  • SharePoint, ERP, CRM und andere Business Applikationen
  • Citrix NetScaler
  • iLO Anbindungen an eine Domain

Unsere Empfehlung

Wir empfehlen, gemäß Microsoft Security Advisory ADV190023, Ihre und Anwendungen, die das unsichere LDAP nutzen, zu identifizieren und auf LDAPS umzustellen. Die Verfügbarkeit von Updates, die die Umstellung der entsprechenden Applikationen Systeme auf LDAPS ggf. erst ermöglichen, sollte geprüft und die Implementierung der Updates entsprechend eingeplant werden.

Sollten Sie weitere Fragen zum Thema haben oder Unterstützung bei der Umsetzung benötigen, sprechen Sie uns an. Wir unterstützen Sie gern.

Exim Sicherheitslücke ohne Auswirkung auf Sophos Produkte

In den verangengen Tagen wurde die Exim-Schwachstelle CVE-2019-15846 in zahlreichen Foren und Online Magazinen (u. a. heise) bekannt und diskutiert. Was ist das für eine Schwachstelle? Bin ich angreifbar? Diese Fragen wollen wir im Hinblick auf die Verwendung von Sophos Produkten klären.

Was ist CVE-2019-15846?

CVE-2019-15846 ist eine Schwachstelle in Exim, die es bei einer speziell entwickelten SNI-Endung erlaubt, willkürlichen Code auf dem entsprechend anfälligen Server auszuführen und ggf. Schadesoftware zu installieren, Daten auszuspionieren oder anderweitigen Schaden anzurichten.

Kann die Schwachstelle bei Sophos Produkten ausgenutzt werden? Nein!

Laut Hersteller selbst, kann diese Schwachstelle bei keinem der Sophos Produkte ausgenutzt werden.

Der Grund dafür liegt schnell auf der Hand: Zahlreiche Produkte verzichten auf den Einsatz von Exim. Auf anderen Produkten ist die Software auf der UTM zwar vorhanden, jedoch wird ein erfolgreicher Angriff der Schwachstelle dadurch verhindert, dass die für die Ausnuztung verwendeten TLS-Header bereits erkannt und entfernt werden, bevor diese den gefährdeten Code bzw. das Modul erreichen.

Obwohl die Schwachstelle aufgrund der gegebenen Architektur von Sophos XG- und UTM-Produkten nicht ausnutzbar ist, plant der Hersteller im kommenden Maintenance-Release ein Exim-Update für die betreffenden Plattformen zu veröffentlichen.

Veranstaltungen

Es konnte leider nichts gefunden werden

Entschuldigung, aber kein Eintrag erfüllt Deine Suchkriterien