Posted by o.sommer
Der am letzten Patchday erschienene Fix für das Problem bei bestimmten RDP Konfigurationen ist deshalb extrem kritisch, da es sich um eine Lücke handelt deren Voraussetzungen zur Ausnutzung sehr wahrscheinlich der Konfiguration der meisten im Betrieb befindlichen Server entspricht.
Sollte der Server via Port 3389/TCP erreichbar sein und “Authentifizierung auf Netzwerkebene” (network level authentication (NLA)) nicht aktiviert sein, dann lässt sich diese Lücke (bisher theoretisch) ausnutzen.
Dabei ist es nicht unbedingt sicher, wenn der Server nicht über den RDP Port 3389 zum Internet veröffentlicht wurde, sondern nur intern erreichbar ist, da sehr einfach Malware vorstellbar ist, die über einen internen Client Angriffe auf RDP Server durchführt!
Mit diesen Einstellungen ist ein Server potenziell gefährdet:
Ein Ausschluss der Gefahr ist (zumindest für Versionen ab 2008) denkbar einfach und sollte zusätzlich zum Patch konfiguriert werden:
ACHTUNG:
Damit werden Windows Versionen XP/2003 oder älter vom RDP Zugriff auf diesen Server ausgeschlossen, aber das ist zumindest bei den meisten unserer Kunden kein Problem mehr, da XP Rechner idR nicht mehr in relevanter Anzahl vorhanden sind, und wenn dann keinen RDP Zugriff benötigen.
Unter SBS kann eine vorhandene Gruppenrichtlinie angepasst werden, um die notwendigen Einstellungen für alle SBS Client Computer zentral durchzuführen:
Pfad für Einstellungen:
Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Sicherheit
Der Wert ist auf “Aktiviert” zu setzen um die Sicherheitslücke auszuschließen.
Sicherheitsupdate für Windows Server 2008 x64 Edition (KB2647170)
Updatetyp: Wichtig
Es wurde eine Sicherheitslücke entdeckt, durch die ein nicht authentifizierter Remoteangreifer verursachen kann, dass ein System nicht mehr reagiert. Durch die Installation dieses Updates von Microsoft können Sie zum Schutz Ihres Systems beitragen. Nach der Installation dieses Updates müssen Sie das System gegebenenfalls neu starten.
Weitere Informationen:
http://go.microsoft.com/fwlink/?LinkId=235401
Einige Links zum Thema und das Statement von Yunsun Wee:
“Proof-of-Concept Code available for MS12-020 - MSRC - Site Home -
On March 15, we became aware of public proof-of-concept code that
results in denial of service for the issue addressed by MS12-020
We continue to watch the threat landscape and we are not aware of public
proof-of-concept code that results in remote code execution.
We recommend customers deploy MS12-020 as soon as possible, as this
security update protects against attempts to exploit CVE-2012-0002.
Additionally we have offered a one-click Fix It
to help mitigate risk for those customers who need time to test the
update before deploying it.
The details of the proof-of-concept code appear to match the
vulnerability information shared with Microsoft Active Protections
Program (MAPP) partners. Microsoft is actively investigating the
disclosure of these details and will take the necessary actions to
protect customers and ensure that confidential information we share is
protected pursuant to our contracts and program requirements.
Customers who have deployed MS12-020 are protected from attempts to
Consistent with the charter of the MAPP program, we released details
related to the vulnerabilities addressed in MS12-020 to MAPP partners
under a strict Non-Disclosure Agreement in advance of releasing the
security bulletin. Security software partners use this type of
information to build enhanced customer protections that, in many cases,
provide customers with more time to make optimal deployment decisions
for their environments. More information about the MAPP program can be
Director, Trustworthy Computing”
Posted by o.sommer
Auch bei Exchange 2010 müssen einige Ausnahmen bei AV Scannern eingetragen werden, damit nicht durch den OnAccess/Zugriffsscanner evtl. der gesamte Exchange Server stillgelegt wird. Hinweise dazu welche Ordner, Applikationen, Dateien und Endungen ausgeschlossen werden sollten/müssen findet man in dem Artikel unter http://technet.microsoft.com/en-us/library/bb332342.aspx.
Stand September 2011:
auszuschließende Ordner
- %ExchangeInstallPath%\Mailbox
- Datenbank Inhalt Indizes (üblicherweise auch der Mailbox Ordner)
- %ExchangeInstallPath%\GroupMetrics
- %ExchangeInstallPath%\TransportRoles\Logs
- %ExchangeInstallPath%\Logging
- %ExchangeInstallPath%\ExchangeOAB
- %SystemRoot%\System32\Inetsrv
- %ExchangeInstallPath%\Mailbox\MDBTEMP
- Any Exchange-aware antivirus program folders
- %ExchangeInstallPath%\TransportRoles\Logs
- %ExchangeInstallPath%\TransportRoles
- %ExchangeInstallPath%\TransportRoles\Data\Queue
- %ExchangeInstallPath%\TransportRoles\Data\SenderReputation
- %ExchangeInstallPath%\TransportRoles\Data\IpFilter
- Exchange Server TMP Folder
- %ExchangeInstallPath%\Working\OleConvertor
- %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
- %systemroot%\IIS Temporary Compressed Files
- %SystemRoot%\System32\Inetsrv
- Inetpub\logs\logfiles\w3svc
- %ExchangeInstallPath%\ClientAccess
- %ExchangeInstallPath%\Logging\POP3
- %ExchangeInstallPath%\Logging\IMAP4
- %ExchangeInstallPath%\Working\OleConvertor
- %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\
- %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Archive
- %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Quarantine
- %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Engines\x86
or
%Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Engines\amd64 - %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data
auf DAG Clustern: (nicht relevant für den SBS selber)
- %Winnt%\Cluster
- die gesamte Quorum Festplatte
- Ordner des Datenträgerzeugen \\%SystemDrive%:\DAGFileShareWitnesses\<DAGFQDN
auszuschließende Applikationen
- Eseutil.exe
- Cdb.exe
- Microsoft.Exchange.Search.Exsearch.exe
- Cidaemon.exe
- Microsoft.Exchange.Servicehost.exe
- Clussvc.exe
- MSExchangeADTopologyService.exe
- Dsamain.exe
- MSExchangeFDS.exe
- EdgeCredentialSvc.exe
- MSExchangeMailboxAssistants.exe
- EdgeTransport.exe
- MSExchangeMailboxReplication.exe
- ExFBA.exe
- MSExchangeMailSubmission.exe
- GalGrammarGenerator.exe
- MSExchangeRepl.exe
- Inetinfo.exe
- MSExchangeTransport.exe
- Mad.exe
- MSExchangeTransportLogSearch.exe
- Microsoft.Exchange.AddressBook.Service.exe
- MSExchangeThrottling.exe
- Microsoft.Exchange.AntispamUpdateSvc.exe
- Msftefd.exe
- Microsoft.Exchange.ContentFilter.Wrapper.exe
- Msftesql.exe
- Microsoft.Exchange.EdgeSyncSvc.exe
- OleConverter.exe
- Microsoft.Exchange.Imap4.exe
- Powershell.exe
- Microsoft.Exchange.Imap4service.exe
- SESWorker.exe
- Microsoft.Exchange.Infoworker.Assistants.exe
- SpeechService.exe
- Microsoft.Exchange.Monitoring.exe
- Store.exe
- Microsoft.Exchange.Pop3.exe
- TranscodingService.exe
- Microsoft.Exchange.Pop3service.exe
- UmService.exe
- Microsoft.Exchange.ProtectedServiceHost.exe
- UmWorkerProcess.exe
- Microsoft.Exchange.RPCClientAccess.Service.exe
- W3wp.exe
Bei installiertem Forefront Security für Exchange zusätzlich noch diese Applikationen/Prozesse
- Adonavsvc.exe
- FscStatsServ.exe
- FscController.exe
- FscTransportScanner.exe
- FscDiag.exe
- FscUtility.exe
- FscExec.exe
- FsEmailPickup.exe
- FscImc.exe
- FssaClient.exe
- FscManualScanner.exe
- GetEngineFiles.exe
- FscMonitor.exe
- PerfmonitorSetup.exe
- FscRealtimeScanner.exe
- ScanEngineTest.exe
- FscStarter.exe
- SemSetup.exe
Posted by o.sommer
Der SBS hat zwar seit der Version 2008 keinen integrierten ISA Server mehr, weil eine solche Konfiguration (SBS = DC mit mehreren Netzwerkkarten) von Microsoft schlicht nicht mehr unterstützt wird, aber:
der SBS 2008 und alle SBS 2011 haben trotzdem standardmäßig die Windows Server Firewall aktiviert und konfiguriert
-
die ist zwar relativ einfach gestrickt, aber der Erfolg gibt ihr Recht, denn die Windows Firewall hatte, meines Wissens nach, noch nie eine Sicherheitslücke
es ist vorgesehen einen SBS hinter einer Firewall bzw. mindestens einem NAT Router zu betreiben, wobei
-
der NAT Router aus Angreifer-Sicht schon einmal sehr viele potenzielle Angriffs-Szenarien unmöglich macht, da der Angreifer kaum eine Chance hat über das NAT (Network Address Translation) direkt an den SBS ranzukommen, außer an den Schnittstellen die dafür vorgesehen und speziell abgesichert sind
-
Diese durch den NAT Router zugänglichen Schnittstellen wären z.B. der Webserver der die Remote Web App Site betreibt, die aus diesem Grund nur Zugriffe erlaubt die sich authentifiziert haben, dasselbe gilt für die Websites die für Outlook Web App und Outlook Anywhere und Co. auf dem SBS betrieben werden, alle erfordern die Eingabe von Benutzernamen und Passwort, bevor man an irgendwelche potenziell verwertbaren Informationen herankommt
Hinzu kommt die securitytechnisch hervorragende Historie der Anwendungen auf dem SBS. AD DS, Exchange und Sharepoint haben wenig bis keine wirklich effektiv ausnutzbaren Sicherheitslücken.
In SBS Umgebungen werden alleine durch die obigen Maßnahmen schon die Sicherheitsfeatures erfüllt, wie Sie auch in vielen Konzern Infrastrukturen als völlig ausreichend bewertet werden.
Nur halt schon out-of-the-box und standardmäßig durch die Assistenten „sicher“ konfiguriert.
Posted by T.Brinkmann
Das Service Pack 1 für Windows 7 und Windows Server 2008R2 steht nun für jeden zum download bereit, bzw. ist per Windows Update verfügbar:
http://support.microsoft.com/kb/976932
Könnte das SP1 auf dem SBS2011 auch installiert werden? –> Ja. Die Installationsroutine funktioniert auch auf einem SBS2011. Allerdings gibt es noch keine offiziellen Aussagen, ob das SP1 auf dem SBS2011 zu 100% funktioniert, bzw. welche Dienste / Funktionen des SBS2011 nach der Installation des SP1 angepasst werden müssen.
Generell ist zu Bedenken dass das SP1 in erster Linie eine Updatesammlung aller bisher erschienenen Updates des Server 2008R2 bzw. Win7 ist. Da der SBS2011 Std. weder Hyper-V Host, noch RemoteDesktop-Sitzungshoste sein sollte, bzw. sein kann, sind die neuen Funktionen des SP1 “RemoteFX” und “DynamicMemory” eher uninteressant.
In diesem Forenbeitrag wird von der Installation des SP1 abgeraten.
Posted by T.Redelberger
Problem
Why is Symantec Endpoint Protection Manager 11.x not updating 32 or 64 bit virus-definitions?
Symptoms
Symantec Endpoint Protection Clients do not update virus definitions.
- Symantec Endpoint Protection Manager shows old virus definitions in "Admin > Server > Local Site >Show LiveUpdate Downloads".
Cause
Old or corrupted virus definitions prevent Symantec Endpoint Protection Manager to update with new downloaded virus definitions.
Solution
Steps to clean Virus Definitions folders and republish Live Update Product Inventory on Symantec Endpoint Protection Manager:
- Delete the content of folder %ProgramData%\Symantec\LiveUpdate\Downloads\
Note: Application Data is a hidden folder. Delete the content of the Downloads folder, but not the folder itself.
- Update the LiveUpdate catalog by opening the following link in Internet Explorer:
http://localhost:9090/servlet/ConsoleServlet?ActionType=ConfigServer&action=PublishLuInventory
After few seconds you will get a confirmation message "Responsecode="0".
- Stop the services "Symantec Endpoint Protection Manager" and "Symantec Endpoint Protection"
To stop the services: - Go to Start > Run.
- Type the following: Services.msc
- Select and stop the above mentioned services.
- Delete ONLY the numbered or TMP folders inside the following paths:
- %ProgramFiles(x86)%\symantec\symantec endpoint protection manager\inetpub\content\{1CD85...
- %ProgramFiles(x86)%\symantec\symantec endpoint protection manager\inetpub\content\{C60DC...
- %ProgramData%\Symantec\Definitions\SymcData\sesmvirdef32
- %ProgramData%\Symantec\Definitions\SymcData\sesmvirdef64
- %ProgramData%\Symantec\Definitions\VirusDefs
- Launch the process LUALL.EXE from %programfiles(x86)%\Symantec\LiveUpdate (May be requested to click on "START")
LiveUpdate should run for some minutes (5-10 min), if some error messages are displayed, exit and launch again LUALL.exe
- Restart both Symantec Endpoint Protection services when LiveUpdate is complete.
- Verify the numbered folders of virus definitions are created in the following paths:
(There might be just 2-3 folders in the beginning, but the default number is 10 folders) - %ProgramFiles(x86)%\symantec\symantec endpoint protection manager\inetpub\content\{1CD85...
- %ProgramFiles(x86)%\symantec\symantec endpoint protection manager\inetpub\content\{C60DC...
- Log on to Symantec Endpoint Protection Manager Console and launch a LiveUpdate from Admin > Server > Local Site > Download LiveUpdate content.
- Verify the correct download/usage of new virus definitions from "Admin > Server > Local Site >Show LiveUpdate Downloads".
Source: http://www.symantec.com/business/support/index?page=content&id=TECH104721&locale=en_US
Posted by O.Sommer
|
Ein Artikel der Site wired.com schildert einen interessanten Fall von “secondary Inspection” der den Schauergeschichten entspricht, die man unter Kollegen die viel in die USA reisen immer mal wieder diskutiert. Er zeigt wie die USA Einreisebehörden ihre potenzielle Macht ausüben und warum einige Kollegen nur noch ohne Laptop oder mit mehrfach sicher gelöschten, leeren Festplatten in die USA reisen um sich die dort benötigten Daten dann nach der Einreise über sichere Datenübertragungswege über das Internet (DirectAccess, VPN, etc.) auf das Gerät zu laden.
|
 |
Interessant an diesem Artikel ist, das die Geräte trotz der Weiterung von Moxie die Passwörter herauszugeben, nach einigen Stunden an ihn zurückgegeben wurden. Leider kann man, sollte einem das selber passieren, wie im Artikel von Moxie angesprochen, diesen Geräten anschließend nicht mehr vertrauen und kann diese eigentlich nur noch über ebay (möglichst weit weg vom persönlichen Umfeld) verkaufen.
Hier findet ihr den Artikel: http://www.wired.com/threatlevel/2010/11/hacker-border-search/
Ein weiteres Beispiel für die "grandiose Feinfühligkeit" der Sicherheitsbehörden:
http://www.msnbc.msn.com/id/40291856/ns/travel-news
Posted by o.sommer
Windows 7 offers a very cool feature where you can connect multiple devices to any wired and wireless network connection (hotel, cable, 3G, UMTS, EDGE, WIFI, RJ45, Ethernet, etc.) by turning your own laptop into a wireless AP (Access Point) to relay those devices not directly connected to the internet.
For this just enter these two commands to an elevated (right click on CMD.EXE, run as administrator):
netsh wlan set hostednetwork mode=allow ssid=YOURFRIENDLYSSID key=SOMEPASSWORD
netsh wlan start hostednetwork
At this point, if Internet Connection Sharing (ICS) is setup, anyone can connect to your SoftAP (if they know the PWD of course) and the traffic will be sent through whatever adapter you want. You can actually bridge it across an entirely different adapter... or the same on a different Wifi LAN.
A GUI to set this up can be downloaded for free here: http://www.connectify.me/
Posted by o.sommer
As you may be aware, there are a number of Microsoft Windows versions which will go out of support during the coming year:
Windows 2000 Professional and Windows 2000 Server are approaching 10 years since their launch and both products will go out of support on July 13, 2010.
Windows XP was launched back in 2001. While support for the product will continue, Service Pack 2 will go out of support on July 13, 2010. From that date onwards, Microsoft will no longer support or provide free security updates for Windows XP SP2. Please install the free Service Pack 3 for Windows XP to have the most secure and supported Windows XP platform.
Finally, Windows Vista with no Service Packs installed will end support on April 13 2010. Please install the free Service Pack 2 for Windows Vista to have the most secure and supported Windows Vista platform.