Austausch unter IT-Professionals - Erfahrungen, Tipps, Fachsimpelei
- Ersteller Zensai
- Erstellt am
t-6
Admiral
- Registriert
- Juni 2007
- Beiträge
- 8.959
Ich hab keine Bock mehr auf diese Scheisse...
Was kommt wohl 2022 von MS? Ein auskommentiertes #get-disk | clear-disk -force das aus irgendeiner RCA zu Verschlüsselungstrojanern den Weg in ein CU gefunden hat wo die Raute nicht geparst und überspringen wird weil Schaltjahr und das falsche .net installiert ist?
IIS vergisst einfach dass da ein Zertifikat auf 443 gehört? Ach nee, hatten wir schon.
Maaaan.
Was kommt wohl 2022 von MS? Ein auskommentiertes #get-disk | clear-disk -force das aus irgendeiner RCA zu Verschlüsselungstrojanern den Weg in ein CU gefunden hat wo die Raute nicht geparst und überspringen wird weil Schaltjahr und das falsche .net installiert ist?
IIS vergisst einfach dass da ein Zertifikat auf 443 gehört? Ach nee, hatten wir schon.
Maaaan.
@t-6
stimmt, Mitte des Jahres gab es ja ein abgelaufendes internes Zertifikat, was OWA und ECP lahmgelegt hat. Glaube mir, ich habe auch keinen Bock mehr auf den Mist, aber als angestellter IT-Dienstleister wirds schwer von jetzt auf gleich umzuschwenken auf alternativen. Im heimischen Netz wird bereits versucht umzustellen - teils erfolglos natürlich 😅
stimmt, Mitte des Jahres gab es ja ein abgelaufendes internes Zertifikat, was OWA und ECP lahmgelegt hat. Glaube mir, ich habe auch keinen Bock mehr auf den Mist, aber als angestellter IT-Dienstleister wirds schwer von jetzt auf gleich umzuschwenken auf alternativen. Im heimischen Netz wird bereits versucht umzustellen - teils erfolglos natürlich 😅
T
Toyota Corolla
Gast
Mac_Leod schrieb:
Zum Glück nicht.
Was uns bei einen der letzten Exchange 2013 Updates passiert ist, dass die Updates uns die EX Server Zertifikate gelöscht haben. Allerdings nicht sofort sondern am nächsten Tag (Zeitzonen…)… Joah und wir haben uns erst gewundert warum das DAG nach und nach weggestorben ist 😂
paperw_ngs schrieb:
Danke für die Warnung. Dann wird Montag ja schön lustig ..,
Wobei ich bin mir gerad nicht sicher ob der FIP FS überhaupt aktiv ist, weil wir da noch ein Drittanbieter Produkt haben.
Zuletzt bearbeitet von einem Moderator:
Ranayna
Admiral
- Registriert
- Mai 2019
- Beiträge
- 7.826
Ja, in letzer Zeit ist das wirklich, wirklich extrem geworden. Da steckt sicherlich auch ein Aspekt von dem drin was @Towatai sagt, das MS die Kunden in der Cloud haben will.
Aber irgendwie kann mir das als "Ausrede" nicht reichen. Es ist ja nicht so, als ob die Cloud Sachen wirklich gut laufen. Die Teams GUI spricht Baende, und 365 ist ja schon laenger als <360 bekannt.
Das dann auch noch Features wild hin- und hergewuerfelt werden sorgt fuer weiteren Frust.
Alleine das Teams auf Laptops, PCs und virtuellen Maschinen teilweise, aber nicht immer, anders aussieht... Von der Performance mal ganz abgesehen.
Ich glaube da wird aktuell massiv vom Ruf gelebt. Mal schauen wielange es dauert bis erste Firmen sich ernsthafte Alternativen anschauen.
Aber irgendwie kann mir das als "Ausrede" nicht reichen. Es ist ja nicht so, als ob die Cloud Sachen wirklich gut laufen. Die Teams GUI spricht Baende, und 365 ist ja schon laenger als <360 bekannt.
Das dann auch noch Features wild hin- und hergewuerfelt werden sorgt fuer weiteren Frust.
Alleine das Teams auf Laptops, PCs und virtuellen Maschinen teilweise, aber nicht immer, anders aussieht... Von der Performance mal ganz abgesehen.
Ich glaube da wird aktuell massiv vom Ruf gelebt. Mal schauen wielange es dauert bis erste Firmen sich ernsthafte Alternativen anschauen.
paperw_ngs
Ensign Pro
- Registriert
- März 2007
- Beiträge
- 212
Shit happens, ob Cloud oder on-Prem und egal bei welchem Hersteller. Ein Datum in einen Int32 zu knallen ist aber schon next Level Dilettantismus. 🥴
Blutschlumpf
Fleet Admiral
- Registriert
- März 2001
- Beiträge
- 20.386
Ich behaupte mal, dass es sogar gang und gäbe ist Zeit als Integer zu speichern.
Nennt sich Unix timestamp und wird die IT-Branche vermutlich Januar 2038 alle richtig hart f.... weil irgendwo in irgendwelchen Tools/Scripten oder dann 20 Jahre alten python-Modulen der Überlauf passiert.
Mag sein, dass es da inzwischen bessere Möglichkeiten gibt, aber das wird sicherlich auf breiter Front noch so gemacht. Erster Hit bei Google als Beispiel:
https://www.google.com/search?client=firefox-b-d&q=php+how+to+save+date
Nennt sich Unix timestamp und wird die IT-Branche vermutlich Januar 2038 alle richtig hart f.... weil irgendwo in irgendwelchen Tools/Scripten oder dann 20 Jahre alten python-Modulen der Überlauf passiert.
Mag sein, dass es da inzwischen bessere Möglichkeiten gibt, aber das wird sicherlich auf breiter Front noch so gemacht. Erster Hit bei Google als Beispiel:
https://www.google.com/search?client=firefox-b-d&q=php+how+to+save+date
kernel panic
Lt. Commander
- Registriert
- Jan. 2010
- Beiträge
- 2.023
Danke, dass du mich erinnerst, dass ich in der Woche vom 18.1. - 22.1.38 Urlaub einzureichen!Blutschlumpf schrieb:Nennt sich Unix timestamp und wird die IT-Branche vermutlich Januar 2038 alle richtig hart f.... weil irgendwo in irgendwelchen Tools/Scripten oder dann 20 Jahre alten python-Modulen der Überlauf passiert.
Kann es sein, dass Log4J am Ende heißer gekocht wurde, als es war? Wir hatten zwar betroffene Anwendungen, aber scheinbar keine Infektion (oder die Angreifer haben Mitleid und zeigen Ihre Aktivität erst ab morgen)...
Waren die Anwendungen überhaupt öffentlich erreichbar? Wenn nicht, wäre das Risiko "nur" aus dem internen Netzwerk durch infizierte Geräte, böswillige MA oder öffentlich erreichbare Netzwerkanschlüsse zu vermuten.
Selbst wenn sie öffentlich erreichbar waren, hast du eine WAF davor? Die kann das auch schon weggefiltert haben. Ansonsten bleibt selbst wenn nicht noch die Möglichkeit das man einfach Glück hatte und noch niemand deine IP gescannt hat und sich das zu nutze gemacht hat, gibt/gab schließlich genügend potentielle Ziele.
Selbst wenn sie öffentlich erreichbar waren, hast du eine WAF davor? Die kann das auch schon weggefiltert haben. Ansonsten bleibt selbst wenn nicht noch die Möglichkeit das man einfach Glück hatte und noch niemand deine IP gescannt hat und sich das zu nutze gemacht hat, gibt/gab schließlich genügend potentielle Ziele.
kernel panic
Lt. Commander
- Registriert
- Jan. 2010
- Beiträge
- 2.023
@holdes Ja, war von außen erreichbar und was meinst du mit WAF (Application Firewall?)? Firewall war vorhanden, was die filtert? Keine Ahnung! Das machen die Kollegen, ansonsten war noch ein Reverse Proxy davor, allerdings hab ich damals bei einer spontanen Suche keine Infos gefunden, inwiefern der Reverse Proxy schützt. Wenn ich richtig informiert bin, kann ja auch schon ein manipulierter User Agent ausreichen und der wird doch vom Reverse Proxy durch gereicht, oder?
Towatai
Commodore
- Registriert
- Dez. 2005
- Beiträge
- 4.603
Nachschlag: https://techcommunity.microsoft.com.../email-stuck-in-transport-queues/ba-p/3049447
Erster Server nach Anleitung gepatched, nen Switchover gefahren, scheint zu laufen.
Erster Server nach Anleitung gepatched, nen Switchover gefahren, scheint zu laufen.
Zuletzt bearbeitet:
kernel panic schrieb:
Jap, Web Application Firewall aber dafür gibts viele Namen. Die meisten hatten die Signaturen für Log4J Angriffe schnell drin und wären selbst bei einem öffentlich erreichbarem Dienst sicher gewesen
.kernel panic schrieb:
Wenn der Reverse Proxy nicht explizit Muster erkennt und filtert kann ich mir kaum vorstellen, dass er alleine Schutz bietet. Eine WAF besteht ja im Grunde auch nur aus eben diesem Proxy nur mit dem Unterschied, dass die dort noch IPS und andere Dinge macht.
Da ihr aber besagte Firewall bzw. UTM? davor habt denke ich nicht das jemand was angestellt hat, je nach Hersteller und Updatezeitraum der Signaturen bleibt einem Angreifer auch recht wenig Zeit. Bei uns hab ich die Logs mal durchgesehen und versucht hat es da zumindest niemand
.Eine reine Firewall arbeitet ja nur Regeln ab, die schützt vor so etwas natürlich nicht aber Firewall nutzt man als Begriff meistens für Geräte die weit mehr als das sind.
kernel panic
Lt. Commander
- Registriert
- Jan. 2010
- Beiträge
- 2.023
Naja ich hatte nur gelesen, dass irgendein CDN mit dem Filtern Probleme hatte und dachte dann, dass die üblichen Firewalls damit ebenfalls Probleme hatten, auch wenn die Kollegen mir bestätigt hatten, dass die Firewall alles blockt...holdes schrieb:Jap, Web Application Firewall aber dafür gibts viele Namen. Die meisten hatten die Signaturen für Log4J Angriffe schnell drin und wären selbst bei einem öffentlich erreichbarem Dienst sicher gewesen
Genau das war auch mein Stand. 👍holdes schrieb:
Jup, Firewall ist vor den Systemen, dahinter wäre schon blöd.holdes schrieb:Da ihr aber besagte Firewall bzw. UTM? davor habt denke ich nicht das jemand was angestellt hat, je nach Hersteller und Updatezeitraum der Signaturen bleibt einem Angreifer auch recht wenig Zeit. Bei uns hab ich die Logs mal durchgesehen und versucht hat es da zumindest niemand
kernel panic schrieb:Jup, Firewall ist vor den Systemen, dahinter wäre schon blöd.
War eher gemeint ob wir von einer "Firewall" oder von einer "UTM" sprechen. Das sie davor ist, sollte klar sein
. Viele nutzen heutzutage aber Firewall als Synonym für sämtliche Security Hardware/Software .Towatai schrieb:
Das sind ja Nasen bei MS...
Zitat:
2. Run Get-EngineUpdateInformation and verify the UpdateVersion information is 2112330001.
Dem Malware Agent wird weiterhin ein Datum im Jahr 2021 vorgegaukelt für die Definitionsupdates, z.B. der 33.12.2021
kernel panic
Lt. Commander
- Registriert
- Jan. 2010
- Beiträge
- 2.023
Ich weiß nicht genau, was die alles abdeckt, denke aber, es sollte eine UTM sein.holdes schrieb:
Towatai
Commodore
- Registriert
- Dez. 2005
- Beiträge
- 4.603
Neues Update für Exchange: https://www.frankysweb.de/neue-sicherheitsupdates-fuer-exchange-server-januar-2022/
morcego
Lt. Commander
- Registriert
- Aug. 2008
- Beiträge
- 1.967
Ist mir heute auch aufgefallen... Exchange Schwachstellen die drölfte. Immerhin steht überall dran, dass es noch nicht ausgenutzt wird und sollte problemlos über Windows Updates laden weil noch keine neuen CUs raus sind.Towatai schrieb: