News Crash-Dump: So gelangten Hacker an Microsofts Signaturschlüssel

[Valhal]

Fragt sich eigentlich keiner, warum es überhaupt einen Generalschlüssel gibt, mit dem man auf alle Daten aus allen Organisationen in der Cloud zugreifen kann? Mit diesem Generalschlüssel kann man einfach alle Sicherheitsvorkehrungen "bypassen". Vor ein paar Jahren war das noch eine Verschwörungstheorie und man wurde als Aluhut-Träger abgestempelt, wenn man sowas behauptet hat.

Nahe-liegend ist jedoch, dass dieser Generalschlüssel vor allem deshalb existiert, damit die "guten" Geheimdienste/Regierungsbehörden auf die Daten zugreifen können.

 

[duckyisshiny]

Delete … keine lust auf eine sinnlose Diskussion

 

[AlphaKaninchen]

Nahe-liegend ist jedoch, dass dieser Generalschlüssel vor allem deshalb existiert, damit die "guten" Geheimdienste/Regierungsbehörden auf die Daten zugreifen können.

Und wenn er das war und die ihren Job gemacht haben wissen das nicht mal die Leute bei Microsoft...

In den USA gilt der Cloud Akt bei jedem Unternehmen das in den USA Tätig ist kannst du davon ausgehen das die NSA Zugriff hat wenn sie meint das ist nötig, wie sie das Umsetzen kann uns doch eigentlich egal sein oder?

 

[Valhal]

Mag ja sein, aber die US Cloud-Anbieter werben mit EU-Datenschutz-konformes Hosting auf EU-Servern... und unsere Regierung möchte ja auch in die US Cloud gehen, natürlich auf "sicheren" EU-Servern... https://news.microsoft.com/de-de/microsoft-eu-datengrenze-cloud-2023/

 

[Unnu]

Mit verlaub, aber das ist grober Unfug und reiner Populismus.

LOL. Populismus? Vielleicht. Unfug? Nope.
I’m Gegenteil. Das was Du im weiteren Verlauf schreibst ist genau das, was MS versucht hat und dank RC scheiterte!
Und was ich schrieb.

 

[Stuffz]

Warum wird der private Schlüssel jemals in den Speicher einer Anwendung geladen, die auf einem ungesicherten System läuft? Solche Dinge laufen doch normalerweise in einem gesicherten Tresorraum in irgendeinem Bunker.

Was für ein Schwachsinn, eine ganz schwache Leistung.

 

[andy_m4]

Ich würd mal sagen, wer jetzt noch Microsoft-Produkte benutzt ist selber schuld.
Bisher gabs ja immer noch die Erzählung, das Kunden nur deshalb "gehackt" werden, weil sie die Software nicht richtig bedienen/konfiguriert haben. Das klappt ja nun für alle deutlich sichtbar nicht mehr, wenn offenbar wird, das Microsoft ihre eigene Software nicht im Griff hat.

 

[Oldtimer]

Erschreckend ... und da sitzt man an seinem kleinen Windows-PC und fühlt sich mal so richtig hilflos und ausgeliefert.

Herrgott, du wirst bestimmt weltbewegende Dinge auf deinem Rechner haben, wonach die Menschheit schon lange sucht....

 

[AlphaKaninchen]

Man kann dir damit auch z.B. KiPo auf deinen Rechner, OneDrive oder Azure Blob Storage (Was halt dem Authentifiziertem Acoount zugänglich ist) kopieren... Gab z.B. auch schon Viren die Das gemacht haben. Wird sicher interessant wenn die Polizei vor der Tür steht... "Microsoft hat uns mitgeteilt das in ihrem OneDrive KiPo gefunden wurde"

 

[M@tze]

Da gebe ich Dir ja recht, nur setz' das mal durch in den gewachsenen Strukturen!
Scheiße noch eins, wir sind erst im März einen WIN98 "Produktivserver" los geworden!

Da hast Du Recht, das kann natürlich manchmal hart sein. Da kämpft man gegen Windmühlen...

Und das auch nur eher zufällig.

😂🤣

 

[Unnu]

Delete … keine lust auf eine sinnlose Diskussion

Schade. Vielleicht hätte ich was gelernt.

Ergänzung (11. September 2023)

Da kämpft man gegen Windmühlen...

Ohhh ja, .... vor allem in der IT.
Das ist ja das, was einen erstmal dezent aus der Bahn wirft.

Die ein oder andere Fachabteilung ist manchmal auch dezent nervig, das erwarte ich allerdings und bin entsprechend vorbereitet.

Die IT hat mich allerdings erstmal etwas verwirrt.
Alleine die Diskussion über das Patchregime für Clients ... Fucking Clients!
Wir hatten da bis zu 4 Wochen Verzögerung drin. Völlig inakzeptabel. Und zur Begründung kommen mir die mit Tests und "Software" um die Ecke.
... auf Clients! 🤦‍♂️

 

[dh9]

Die IT hat mich allerdings erstmal etwas verwirrt.
Alleine die Diskussion über das Patchregime für Clients ... Fucking Clients!
Wir hatten da bis zu 4 Wochen Verzögerung drin. Völlig inakzeptabel. Und zur Begründung kommen mir die mit Tests und "Software" um die Ecke.
... auf Clients! 🤦‍♂️

Ich verstehe deine Aussage nicht. Meinst du, 4 Wochen Patchstand nach MS Patchday ist zu gering. Also im Prinzip Update sofort nach Patchday, egal was MS diesen Monat versaut hat oder wie?

Oder Ironie?

 

[Unnu]

Also im Prinzip Update sofort nach Patchday

Selbstverständlich. Alles über 2 Tagen bricht dir im Zweifel das Genick.
Wir reden von Clients. Nicht von Servern.
Die Patches kommen und werden sofort auf die Testkühe genudelt.
Wenn die nicht Zucken im Smoketest, kommen danach alle dran.

Clients are cattle not pets!
(Gleiches wie in der Cloud mit Containern)

Server sind ein bisschen komplexer, bis da die Testserver, also 100% Spiegel der Prod. durch sind kann das 1-2 Tage dauern. Raucht nichts, dann drauf mit dem Zeug.

 

[xexex]

Alles über 2 Tagen bricht dir im Zweifel das Genick.

Viel häufiger jedoch, bricht dir ein Rollout auf tausende Clients das Genick, nachdem du die Firma stillgelegt hast.

In jedem Unternehmen sollten diverse Sicherheitsmaßnahmen soweit greifen, dass eine mögliche Sicherheitslücke in der Clientsoftware sowieso nicht ausgenutzt werden kann. Wer sich hier auf Microsoft Updates verlässt, hat schon bei der Planung verloren.

 

[Unnu]

bricht dir ein Rollout auf tausende Clients das Genick, nachdem du die Firma stillgelegt hast.

Mit den Sicherhritsmassnahmen gebe ich dir recht. Da sollte schon mehr drauf & dahinter sein als nur patches.

Nur, wie sollte mir ein Patchrollout auf Clients das Genick brechen, nachdem die Testgruppe - sinnvollerweise erfolgreich - durchgelaufen ist?

Falls dann, was weiß ich, in Indonesien ein paar Hundert Clients plötzlich bricken, weil die sich halt nicht an die Einkaufsregeln gehalten haben, dann rollt man dort eben nicht aus, bzw. zurück, bzw. altes Image drauf. Fertig.

Die Firma steht höchstens dann still, wenn mal wieder nix in Azure geht.

Und welche Software läuft heutzutage noch ausschließlich auf Clients? Die paar Clients nimmst ggf. aus‘m Zyklus und dann darf der Fachbereich halt testen. Wenn sie klug sind machen sie das via RPA oder skripten gleich.

Bisher habe ich keine überzeugenden Argumente gehört Clients nicht sofort zu patchen.

 

[xexex]

Nur, wie sollte mir ein Patchrollout auf Clients das Genick brechen, nachdem die Testgruppe - sinnvollerweise erfolgreich - durchgelaufen ist?

Eine Testgruppe ist eine Testgruppe und kann in den seltensten Fällen ein Gesamtbild abbilden. Es ist ist großen Unternehmen eher ein Wunschdenken alle Szenarien durchzuspielen, wenn man nicht völlig identische Images, Hardware und nur eine Handvoll Software in Benutzung hat. Soll das dann auch noch in 1-2 Tagen ausgerollt werden, ist es eher Glückssache die Fehler zu finden.

Wie war das zuletzt mit den Problemen mit den Druckern? Stell dir vor, plötzlich kann die Hälfte deiner Clients nicht mehr drucken. Hätte man das vorher herausfinden können? Womöglich! Die Realität sah da jedoch ganz anders aus! Hast du alle deine Clients mit identischer Hardware, identischen Docks, identischen Druckern und identischer Software? Ich würde das einen "glücklichen" Zustand nennen, der völlig an den tatsächlichen Zuständen in den meisten Unternehmen vorbei geht.

Der springende Punkt dabei ist, was gewinnst du durch ein gerushtes Rollout auf den Clients? Sicherheit? Dann war um die Sicherheit deiner Clients sowieso nicht gut bestellt. Kümmert man sich um die Sicherheit vorab, wird ein Virenscanner mit Verhaltenserkennung auf den Clients laufen, Scripte deaktiviert sein, Emails gefiltert und die Benutzer nur mit rudimentären Rechten, auf den Clients um im Netz unterwegs sein. Viel Sicherheit gewinnst du durch ein zeitnahes Rollout also selten, den Kopf und Kragen riskieren, weil bei einem Update etwas unvorhergesehenes passiert tust du aber schon.

Und welche Software läuft heutzutage noch ausschließlich auf Clients?

Ich sag jetzt mal so, bei uns werden knapp 4000 Softwarepakete genutzt und gepflegt, einige davon selbst entwickelt. Kritisch verlaufen Updates selten, aber wenn dir die Rechtsabteilung gerade den Hintern aufreißt, weil durch ein Office Update irgendein Plugin zur Übertragung der Daten an die Gerichte nicht mehr geht, denkst du beim nächsten Update zwei mal nach wie schnell du es ausrollst.

Natürlich gibt es Testsysteme, natürlich gibt es Testgruppen, die gibt es aber bei Microsoft auch und trotzdem gibt es so gut wie jedes Jahr ein Update GAU. Jetzt pack nochmal alle anderen Unternehmen zusätzlich auf diesen Haufen, mein "Liebling" hier hier ist Adobe, da denkst du deine Updateprozesse noch mindestens 10 mal durch.

 

[andy_m4]

Ich verstehe deine Aussage nicht. Meinst du, 4 Wochen Patchstand nach MS Patchday ist zu gering. Also im Prinzip Update sofort nach Patchday, egal was MS diesen Monat versaut hat oder wie?

Das Problem ist, Patches fixen Sicherheitslücken. Wie weit die vorher bekannt sind, lässt sich nur im Einzelfall sagen. Aber spätestens(!) mit dem Erscheinen des Patches kann man davon ausgehen, das sie allgemein bekannt sind. Weil man anhand der Patches sehr gut analysieren kann, wo die Schwachstelle liegt.
Daher ist die größte Gefährung durch Schwachstellen i.d.R. kurz nach deren erscheinen.
Genau deshalb ist es wichtig, Patches dann auch sehr zeitnah einzuspielen. Wenn Du da noch wochenlang irgendwie rumtestest, dann setzt Du Dich halt einem Risiko aus.

In jedem Unternehmen sollten diverse Sicherheitsmaßnahmen soweit greifen, dass eine mögliche Sicherheitslücke in der Clientsoftware sowieso nicht ausgenutzt werden kann. Wer sich hier auf Microsoft Updates verlässt, hat schon bei der Planung verloren.

Ja. Das kann man aber genauso gut anders herum argumentieren:
Wer Patches nicht schafft zeitnah einzuspielen weil sonst alles mögliche auseinander bröselt, der hat schon bei der Planung versagt.

Wie war das zuletzt mit den Problemen mit den Druckern? Stell dir vor, plötzlich kann die Hälfte deiner Clients nicht mehr drucken.

Naja. Sowas sollte aber nicht häufig passieren. Falls es doch häufig passiert, dann habt ihr schrottige Software -> IT-Planung versagt.
Es kann natürlich trotzdem mal passieren. Dann sollte es aber ein Knopfdruck sein, um die betroffenen Clients durch ein Rollback temporär in arbeitsfähigen Zustand zu versetzen.
Geht das nicht, dann hat die IT-Planung versagt.

Dann war um die Sicherheit deiner Clients sowieso nicht gut bestellt.

Ja. Man muss sich um die Sicherheit der Clients kümmern. Gut kümmern. Das deckt im Zweifel aber nicht alles ab, was Du Dir durch Sicherheitslücken einfängst.

wird ein Virenscanner mit Verhaltenserkennung auf den Clients laufen

Virenscanner mit Verhaltenserkennung. Wenn ich das schon lese. :-)

 

[xexex]

Ja. Das kann man aber genauso gut anders herum argumentieren:

Nö! Es gibt genug Unternehmen die auf LTSC Lösungen setzen, eine verzögerte Updatestrategie haben, oder aus welchen Gründen auch immer Updates verzögern. Updates können Sicherheitslücken nur stopfen, nachdem diese bemerkt wurden, der mögliche Schaden ist da aber bereits entstanden.

Es kann natürlich trotzdem mal passieren. Dann sollte es aber ein Knopfdruck sein, um die betroffenen Clients durch ein Rollback temporär in arbeitsfähigen Zustand zu versetzen.

Weil natürlich jede Software einen Rollback zulässt und danach geht wieder alles. In welcher Welt lebst du?

Virenscanner mit Verhaltenserkennung. Wenn ich das schon lese. :-)

Die Basis von jedem plausiblen Sicherheitskonzept und wenn was passiert, dann willst du jeden Schritt der dazu geführt hat möglichst genau nachvollziehen.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[Unnu]

@xexex
Okay, dann sind wir nahe dran am glücklichen Zustand. Und ja, verglichen mit euren 4k Paketen - sind die echt alle auf Clients? - sind unsere läppischen 438 ein Klacks. Davon 95% nicht auf Clients.
Diese Anzahl dampfen wir gerade auf ca. 80-100 ein.
Und demnächst starten wir eine Initiative um die Ausbreitung von MS einzuhegen, bzw. ggf. auch in Teilen wieder zurück zu bauen.

Apropos von wegen was es bringt direkt zu patchen, frisch von heute:
https://www.heise.de/news/Patchday-Angreifer-attackieren-unter-anderem-Microsoft-Word-9303443.html

Bzgl. Rollback: Was genau hindert mich an einem Snapshot? Welche Software lässt sowas immer noch nicht zu?
Und falls es die gibt, was genau hat die auf einem Client zu suchen?

 

[xexex]

sind die echt alle auf Clients?

Nein.... Trotzdem müssen sie gewartet, getestet und immer mal wieder auf Kompatibilität geprüft werden. Manche sind wichtig und manche weniger, aber wenn was nicht läuft hast du trotzdem Nutzer an der Backe.

Man darf eines dabei nicht vergessen, oft geht es gar nicht um "richtige" Fehler. Setz bei tausenden Benutzern den standardmäßigen PDF Reader auf ein anderes Programm zurück, schon glühen dir schnell die Leitungen im Support.