Aktuelle Sicherheitslücken

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12071

01.01.2022 - 12:50

Zitat aus einem Post von userohnenamen
ilo kannst halt auch vom host-os erreichen, das ist das eigentliche problem imho

Ja sowieso, aber dann brauchst am Angreifer halt am Host RCE, dass am BMC "was geht". Die saehe ich nur wenig weniger kritisch als die iLOBleed-Payload.

erlgrey

formerly known as der~erl

Registered: Aug 2002
Location: Wien
Posts: 4429

01.01.2022 - 12:54

thx

Disable-AntiMalwareScanning.ps1 -ForceRestart

mails flowen wieder.

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6458

01.01.2022 - 14:06

Stimmt, der exchange workaround funktioniert. Aber wenn man keinen weiteren third party Spam Filter hat, holt man sich damit die Pest ins Haus, das sollte einem auch bewusst sein.

erlgrey

formerly known as der~erl

Registered: Aug 2002
Location: Wien
Posts: 4429

01.01.2022 - 14:26

Bei mir ist eh ein nospamproxy dazwischen.

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16839

01.01.2022 - 14:38

Zitat aus einem Post von mr.nice.
Stimmt, der exchange workaround funktioniert. Aber wenn man keinen weiteren third party Spam Filter hat, holt man sich damit die Pest ins Haus, das sollte einem auch bewusst sein.

Was macht die antimalware Scanning Engine? Genau files scannen oder auch Spam Checks?
wenn’s nur AV scan ist, halb so wild. Die erkennen idr eh nur sehr wenig und am Client sollte auch einer sein. Spam-Filter fangen deutlich mehr an als die nachgelagerten malware Filter

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49968

01.01.2022 - 15:20

Zitat aus einem Post von COLOSSUS
Ad "iLOBleed" (was fuer ein dummer Name!): Macht euch das Stress, weil eure BMC-Interfaces im public Internet haengen, oder gibt es da einen anderen relevanten Infektionsvektor?

Komplett getrenntes, eigenes Management Netz (rein für BMC und Netzwerkfernwartung).
Sollte auch vom Host gut genug getrennt sein.

Aber wie heißt es so schön, so lang du den Angriff nicht gefunden hast weißt du nichtmal dass du gehackt wurdest.

Wir gehen halt prinzipiell davon aus dass wir einen Angriffsvektor noch nicht kennen und müssen alles dran legen bekannte Lücken zu schließen.

Wir sind halt als Hoster ein Multiplikatior und damit ein sehr lohnendes Ziel.

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15858

01.01.2022 - 16:19

Zitat aus einem Post von COLOSSUS
Ja sowieso, aber dann brauchst am Angreifer halt am Host RCE, dass am BMC "was geht". Die saehe ich nur wenig weniger kritisch als die iLOBleed-Payload.

jetzt hast einen host der aufgemacht wird (über was auch immer, ist ja völlig egal)
dann hast im normalfall einen isolierten kompromitierten host - passt fertig

jetzt gehst weiter und hast diesen host, der angreifer geht ins ilo über und findet sich im OOB-Netz und kann über das dann auf zig weitere hosts (und im falle eines hosters andere kunden) zugreifen
vielleicht aktuell noch nicht so reell aber ich seh das risiko da grundsätzlich schon gegeben

Elbart

Here to stay

Registered: Dec 2002
Location: Hobbingen
Posts: 844

02.01.2022 - 17:07

Zitat aus einem Post von userohnenamen
da wir hier ja auch einige exchange leute haben, hier gleich eine kurze warnung das der mailflow heute wohl weltweit kaputt ist :facepalm:
https://www.reddit.com/r/sysadmin/c...utm_name=iossmf

Zitat
UPDATE: according to @ceno666 the issue also seems to occur with the 220101002 update version as well. Could be related to, what I’m dubbing, the “Y2K22” bug. Refer to the comment from JulianSiebert about the “signed long” here: https://techcommunity.microsoft.com...ght/true#M31885 The “long” type allows for values up to 2,147,483,647. It appears that Microsoft uses the first two numbers of the update version to denote the year of the update. So when the year was 2021, the first two numbers was “21”, and everything was fine. Now that it’s 2022 (GMT), the update version, converted to a “long” would be 2,201,01,001 - - which is above the maximum value of the “long” data type. @Microsoft: If you change it to an ‘unsigned long’, then the max value is 4,294,967,295 and we’ll be able to sleep easy until the year 2043!

Zitat
UPDATE, 01/02 01:45 EST (06:45 GMT): Microsoft has released a fix for the “Y2K22 Exchange Bug” which requires action to be taken on each Exchange server in your environment. Some system administrators report this fix can take around 30 minutes to run, which could increase depending on how many people are trying to simultaneously download the update from the Microsoft servers. Interestingly, this fix includes a change to the format of the problematic update version number; the version number now starts with “21” again, to stay within the limits of the ‘long’ data type, for example: “2112330001”. So, Happy December 33, 2021!

slowclap.gif
Großes Kino.

Bearbeitet von Elbart am 02.01.2022, 17:09

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15858

02.01.2022 - 17:37

ja, ist quasi mal nur der offizielle workaround nach dem inoffiziellen. der endgültige fix wird dann die nächsten tage kommen

othan

Layer 8 Problem

Registered: Nov 2001
Location: Switzerland
Posts: 4226

03.01.2022 - 18:11

Habe die Exchange-Patches gestern auch eingespielt.
Bin gespannt, ob sie das wirklich fixen oder wir einfach weiter im 21* bleiben...

Ähnliches Problem habe ich gerade im Auto.
Offenbar alle Honda Modelle bis ~2011 betroffen.
GPS Zeit wird nicht mehr abgeglichen, habe bei jedem start 2:00 Uhr :rolleyes:

Kann natürlich bei einem >10 Jahre alten Auto nicht mehr wirklich auf einen kostenlosen (oder auch überhaupt einen) fix hoffen.

Daeda

Here to stay

Registered: Aug 2007
Location: Graz
Posts: 1539

07.01.2022 - 14:53

Zum glück gibts gute "security software" wie Norton :bash:

Norton 360: Antivirenprogramm installiert ungefragt Krypto-Miner auf Rechner seiner Nutzer

Empörte Nutzer machen ihrem Unmut Luft. Hersteller streicht dabei 15 Prozent Kommission ein, verweist aber darauf, dass das Feature optional sei

Link: www.derstandard.at

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49968

07.01.2022 - 16:34

Das war aber schon im Sommer.

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49968

10.01.2022 - 17:59

Zitat aus einem Post von Daeda
Zum glück gibts gute "security software" wie Norton

Avira zieht nach

Avira Crypto: Nach der Virenjagd Kryptowährung schürfen

NortonLifeLock hat es erneut getan und unter Windows eine Antiviren-Software mit Krypto-Mining-Fähigkeiten ausgestattet.

Link: www.heise.de

semteX

begehrt die rostschaufel

Registered: Oct 2002
Location: Pre
Posts: 14594

10.01.2022 - 19:12

die branche is so hin

xtrm

social assassin

Registered: Jul 2002
Location:
Posts: 12101

10.01.2022 - 19:16

Wer sich sowas installiert, nachdem Windows Defender schon längere Zeit absolut ausreicht, ist langsam eh selbst schuld.

COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12071	01.01.2022 - 12:50 Zitat aus einem Post von userohnenamen ilo kannst halt auch vom host-os erreichen, das ist das eigentliche problem imho Ja sowieso, aber dann brauchst am Angreifer halt am Host RCE, dass am BMC "was geht". Die saehe ich nur wenig weniger kritisch als die iLOBleed-Payload.
erlgrey formerly known as der~erl Registered: Aug 2002 Location: Wien Posts: 4429	01.01.2022 - 12:54 thx Disable-AntiMalwareScanning.ps1 -ForceRestart mails flowen wieder.
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6458	01.01.2022 - 14:06 Stimmt, der exchange workaround funktioniert. Aber wenn man keinen weiteren third party Spam Filter hat, holt man sich damit die Pest ins Haus, das sollte einem auch bewusst sein.
erlgrey formerly known as der~erl Registered: Aug 2002 Location: Wien Posts: 4429	01.01.2022 - 14:26 Bei mir ist eh ein nospamproxy dazwischen.
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16839	01.01.2022 - 14:38 Zitat aus einem Post von mr.nice. Stimmt, der exchange workaround funktioniert. Aber wenn man keinen weiteren third party Spam Filter hat, holt man sich damit die Pest ins Haus, das sollte einem auch bewusst sein. Was macht die antimalware Scanning Engine? Genau files scannen oder auch Spam Checks? wenn’s nur AV scan ist, halb so wild. Die erkennen idr eh nur sehr wenig und am Client sollte auch einer sein. Spam-Filter fangen deutlich mehr an als die nachgelagerten malware Filter
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49968	01.01.2022 - 15:20 Zitat aus einem Post von COLOSSUS Ad "iLOBleed" (was fuer ein dummer Name!): Macht euch das Stress, weil eure BMC-Interfaces im public Internet haengen, oder gibt es da einen anderen relevanten Infektionsvektor? Komplett getrenntes, eigenes Management Netz (rein für BMC und Netzwerkfernwartung). Sollte auch vom Host gut genug getrennt sein. Aber wie heißt es so schön, so lang du den Angriff nicht gefunden hast weißt du nichtmal dass du gehackt wurdest. Wir gehen halt prinzipiell davon aus dass wir einen Angriffsvektor noch nicht kennen und müssen alles dran legen bekannte Lücken zu schließen. Wir sind halt als Hoster ein Multiplikatior und damit ein sehr lohnendes Ziel.
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15858	01.01.2022 - 16:19 Zitat aus einem Post von COLOSSUS Ja sowieso, aber dann brauchst am Angreifer halt am Host RCE, dass am BMC "was geht". Die saehe ich nur wenig weniger kritisch als die iLOBleed-Payload. jetzt hast einen host der aufgemacht wird (über was auch immer, ist ja völlig egal) dann hast im normalfall einen isolierten kompromitierten host - passt fertig jetzt gehst weiter und hast diesen host, der angreifer geht ins ilo über und findet sich im OOB-Netz und kann über das dann auf zig weitere hosts (und im falle eines hosters andere kunden) zugreifen vielleicht aktuell noch nicht so reell aber ich seh das risiko da grundsätzlich schon gegeben
Elbart Here to stay Registered: Dec 2002 Location: Hobbingen Posts: 844	02.01.2022 - 17:07 Zitat aus einem Post von userohnenamen da wir hier ja auch einige exchange leute haben, hier gleich eine kurze warnung das der mailflow heute wohl weltweit kaputt ist :facepalm: https://www.reddit.com/r/sysadmin/c...utm_name=iossmf Zitat UPDATE: according to @ceno666 the issue also seems to occur with the 220101002 update version as well. Could be related to, what I’m dubbing, the “Y2K22” bug. Refer to the comment from JulianSiebert about the “signed long” here: https://techcommunity.microsoft.com...ght/true#M31885 The “long” type allows for values up to 2,147,483,647. It appears that Microsoft uses the first two numbers of the update version to denote the year of the update. So when the year was 2021, the first two numbers was “21”, and everything was fine. Now that it’s 2022 (GMT), the update version, converted to a “long” would be 2,201,01,001 - - which is above the maximum value of the “long” data type. @Microsoft: If you change it to an ‘unsigned long’, then the max value is 4,294,967,295 and we’ll be able to sleep easy until the year 2043! Zitat UPDATE, 01/02 01:45 EST (06:45 GMT): Microsoft has released a fix for the “Y2K22 Exchange Bug” which requires action to be taken on each Exchange server in your environment. Some system administrators report this fix can take around 30 minutes to run, which could increase depending on how many people are trying to simultaneously download the update from the Microsoft servers. Interestingly, this fix includes a change to the format of the problematic update version number; the version number now starts with “21” again, to stay within the limits of the ‘long’ data type, for example: “2112330001”. So, Happy December 33, 2021! slowclap.gif Großes Kino. Bearbeitet von Elbart am 02.01.2022, 17:09
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15858	02.01.2022 - 17:37 ja, ist quasi mal nur der offizielle workaround nach dem inoffiziellen. der endgültige fix wird dann die nächsten tage kommen
othan Layer 8 Problem Registered: Nov 2001 Location: Switzerland Posts: 4226	03.01.2022 - 18:11 Habe die Exchange-Patches gestern auch eingespielt. Bin gespannt, ob sie das wirklich fixen oder wir einfach weiter im 21* bleiben... Ähnliches Problem habe ich gerade im Auto. Offenbar alle Honda Modelle bis ~2011 betroffen. GPS Zeit wird nicht mehr abgeglichen, habe bei jedem start 2:00 Uhr Kann natürlich bei einem >10 Jahre alten Auto nicht mehr wirklich auf einen kostenlosen (oder auch überhaupt einen) fix hoffen.
Daeda Here to stay Registered: Aug 2007 Location: Graz Posts: 1539	07.01.2022 - 14:53 Zum glück gibts gute "security software" wie Norton Norton 360: Antivirenprogramm installiert ungefragt Krypto-Miner auf Rechner seiner Nutzer Empörte Nutzer machen ihrem Unmut Luft. Hersteller streicht dabei 15 Prozent Kommission ein, verweist aber darauf, dass das Feature optional sei Link: www.derstandard.at
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49968	07.01.2022 - 16:34 Das war aber schon im Sommer.
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49968	10.01.2022 - 17:59 Zitat aus einem Post von Daeda Zum glück gibts gute "security software" wie Norton Avira zieht nach Avira Crypto: Nach der Virenjagd Kryptowährung schürfen NortonLifeLock hat es erneut getan und unter Windows eine Antiviren-Software mit Krypto-Mining-Fähigkeiten ausgestattet. Link: www.heise.de
semteX begehrt die rostschaufel Registered: Oct 2002 Location: Pre Posts: 14594	10.01.2022 - 19:12 die branche is so hin
xtrm social assassin Registered: Jul 2002 Location: Posts: 12101	10.01.2022 - 19:16 Wer sich sowas installiert, nachdem Windows Defender schon längere Zeit absolut ausreicht, ist langsam eh selbst schuld.

Aktuelle Sicherheitslücken

Forum Index > Software > Applications, Apps & Drivers

COLOSSUS

erlgrey

mr.nice.

erlgrey

Smut

Viper780

userohnenamen

Elbart

userohnenamen

othan

Daeda

Viper780

Viper780

semteX

xtrm