extrem kritischer RDP Patch

Posted by o.sommer

Der am letzten Patchday erschienene Fix für das Problem bei bestimmten RDP Konfigurationen ist deshalb extrem kritisch, da es sich um eine Lücke handelt deren Voraussetzungen zur Ausnutzung sehr wahrscheinlich der Konfiguration der meisten im Betrieb befindlichen Server entspricht.

Sollte der Server via Port 3389/TCP erreichbar sein und “Authentifizierung auf Netzwerkebene” (network level authentication (NLA)) nicht aktiviert sein, dann lässt sich diese Lücke (bisher theoretisch) ausnutzen.
Dabei ist es nicht unbedingt sicher, wenn der Server nicht über den RDP Port 3389 zum Internet veröffentlicht wurde, sondern nur intern erreichbar ist, da sehr einfach Malware vorstellbar ist, die über einen internen Client Angriffe auf RDP Server durchführt!

Mit diesen Einstellungen ist ein Server potenziell gefährdet:

image

 

Ein Ausschluss der Gefahr ist (zumindest für Versionen ab 2008) denkbar einfach und sollte zusätzlich zum Patch konfiguriert werden:

image

ACHTUNG:
Damit werden Windows Versionen XP/2003 oder älter vom RDP Zugriff auf diesen Server ausgeschlossen, aber das ist zumindest bei den meisten unserer Kunden kein Problem mehr, da XP Rechner idR nicht mehr in relevanter Anzahl vorhanden sind, und wenn dann keinen RDP Zugriff benötigen
.

Unter SBS kann eine vorhandene Gruppenrichtlinie angepasst werden, um die notwendigen Einstellungen für alle SBS Client Computer zentral durchzuführen:

image

Pfad für Einstellungen:
Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Sicherheit

Der Wert ist auf “Aktiviert” zu setzen um die Sicherheitslücke auszuschließen.

 

Sicherheitsupdate für Windows Server 2008 x64 Edition (KB2647170)
Updatetyp: Wichtig
Es wurde eine Sicherheitslücke entdeckt, durch die ein nicht authentifizierter Remoteangreifer verursachen kann, dass ein System nicht mehr reagiert. Durch die Installation dieses Updates von Microsoft können Sie zum Schutz Ihres Systems beitragen. Nach der Installation dieses Updates müssen Sie das System gegebenenfalls neu starten.

Weitere Informationen:
http://go.microsoft.com/fwlink/?LinkId=235401

 

Einige Links zum Thema und das Statement von Yunsun Wee:

“Proof-of-Concept Code available for MS12-020 - MSRC - Site Home - 
TechNet Blogs:
 
On March 15, we became aware of public proof-of-concept code that 
results in denial of service for the issue addressed by MS12-020 
we released Tuesday.
 
We continue to watch the threat landscape and we are not aware of public 
proof-of-concept code that results in remote code execution.
 
We recommend customers deploy MS12-020 as soon as possible, as this 
security update protects against attempts to exploit CVE-2012-0002. 
Additionally we have offered a one-click Fix It 
to help mitigate risk for those customers who need time to test the 
update before deploying it.
 
The details of the proof-of-concept code appear to match the 
vulnerability information shared with Microsoft Active Protections 
Program (MAPP) partners. Microsoft is actively investigating the 
disclosure of these details and will take the necessary actions to 
protect customers and ensure that confidential information we share is 
protected pursuant to our contracts and program requirements.
 
Customers who have deployed MS12-020 are protected from attempts to 
exploit CVE-2012-0002.
 
Consistent with the charter of the MAPP program, we released details 
related to the vulnerabilities addressed in MS12-020 to MAPP partners 
under a strict Non-Disclosure Agreement in advance of releasing the 
security bulletin. Security software partners use this type of 
information to build enhanced customer protections that, in many cases, 
provide customers with more time to make optimal deployment decisions 
for their environments. More information about the MAPP program can be 
found here: 
 
Thanks,
Yunsun Wee
Director, Trustworthy Computing”

Bitlocker Setup on HP Microserver and Windows Server 2008 R2

Posted by o.sommer

English:
Since there is an optional TPM modul (installable at any time) available for the HP Microserver, I decided to Screencast the setup of Bitlocker on a box that has Windwos Server on it:

German:
Nachdem es für den HP Microserver ein optionales (auch nachträglich) zu verbauendes TPM Modul gibt, habe ich mal einen Screencast erstellt , wie man mit Hilfe dieses TPM Modul ein mit Bitlocker sicher verschlüsselten Server konfiguriert:

image_thumb[65]image_thumb[41]image_thumb[42]image_thumb[43]image_thumb[44]image_thumb[45]image_thumb[46]image_thumb[47]image_thumb[48]image_thumb[49]image_thumb[50]image_thumb[51]image_thumb[52]image_thumb[53]image_thumb[54]image_thumb[55]image_thumb[56]image_thumb[57]image_thumb[58]image_thumb[59]image_thumb[60]image_thumb[61]image_thumb[62]image_thumb[63]image_thumb[64]image_thumb[66]image_thumb[67]image_thumb[68]image_thumb[69]image_thumb[70]image_thumb[71]image_thumb[72]image_thumb[74]image_thumb[76]imageimageimageimage

How to buy Windows Storage Server 2008 R2 Essentials?

“Fine”, you’d say, “but I can not buy WSSe anywhere in central europe”

Right!
Not as of today, but on Wednesdays
SMB MVP Roadshow in Utrecht, Netherland, there will be an anouncement of the general availability of a product that has WSSe and is driven by the Hardware we all want WSSe to be on!

Antivirus Ausnahmen für Exchange 2010 (SBS 2011)

Posted by o.sommer

Auch bei Exchange 2010 müssen einige Ausnahmen bei AV Scannern eingetragen werden, damit nicht durch den OnAccess/Zugriffsscanner evtl. der gesamte Exchange Server stillgelegt wird. Hinweise dazu welche Ordner, Applikationen, Dateien und Endungen ausgeschlossen werden sollten/müssen findet man in dem Artikel unter http://technet.microsoft.com/en-us/library/bb332342.aspx.

Stand September 2011:

auszuschließende Ordner

  • %ExchangeInstallPath%\Mailbox
  • Datenbank Inhalt Indizes (üblicherweise auch der Mailbox Ordner)
  • %ExchangeInstallPath%\GroupMetrics
  • %ExchangeInstallPath%\TransportRoles\Logs
  • %ExchangeInstallPath%\Logging
  • %ExchangeInstallPath%\ExchangeOAB
  • %SystemRoot%\System32\Inetsrv
  • %ExchangeInstallPath%\Mailbox\MDBTEMP
  • Any Exchange-aware antivirus program folders
  • %ExchangeInstallPath%\TransportRoles\Logs
  • %ExchangeInstallPath%\TransportRoles
  • %ExchangeInstallPath%\TransportRoles\Data\Queue
  • %ExchangeInstallPath%\TransportRoles\Data\SenderReputation
  • %ExchangeInstallPath%\TransportRoles\Data\IpFilter
  • Exchange Server TMP Folder
  • %ExchangeInstallPath%\Working\OleConvertor
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %systemroot%\IIS Temporary Compressed Files
  • %SystemRoot%\System32\Inetsrv
  • Inetpub\logs\logfiles\w3svc
  • %ExchangeInstallPath%\ClientAccess
  • %ExchangeInstallPath%\Logging\POP3
  • %ExchangeInstallPath%\Logging\IMAP4
  • %ExchangeInstallPath%\Working\OleConvertor
  • %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\
  • %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Archive
  • %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Quarantine
  • %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Engines\x86
    or
    %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Engines\amd64
  • %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data

auf DAG Clustern: (nicht relevant für den SBS selber)

  • %Winnt%\Cluster
  • die gesamte Quorum Festplatte
  • Ordner des Datenträgerzeugen \\%SystemDrive%:\DAGFileShareWitnesses\<DAGFQDN

 

auszuschließende Applikationen

  • Eseutil.exe
  • Cdb.exe
  • Microsoft.Exchange.Search.Exsearch.exe
  • Cidaemon.exe
  • Microsoft.Exchange.Servicehost.exe
  • Clussvc.exe
  • MSExchangeADTopologyService.exe
  • Dsamain.exe
  • MSExchangeFDS.exe
  • EdgeCredentialSvc.exe
  • MSExchangeMailboxAssistants.exe
  • EdgeTransport.exe
  • MSExchangeMailboxReplication.exe
  • ExFBA.exe
  • MSExchangeMailSubmission.exe
  • GalGrammarGenerator.exe
  • MSExchangeRepl.exe
  • Inetinfo.exe
  • MSExchangeTransport.exe
  • Mad.exe
  • MSExchangeTransportLogSearch.exe
  • Microsoft.Exchange.AddressBook.Service.exe
  • MSExchangeThrottling.exe
  • Microsoft.Exchange.AntispamUpdateSvc.exe
  • Msftefd.exe
  • Microsoft.Exchange.ContentFilter.Wrapper.exe
  • Msftesql.exe
  • Microsoft.Exchange.EdgeSyncSvc.exe
  • OleConverter.exe
  • Microsoft.Exchange.Imap4.exe
  • Powershell.exe
  • Microsoft.Exchange.Imap4service.exe
  • SESWorker.exe
  • Microsoft.Exchange.Infoworker.Assistants.exe
  • SpeechService.exe
  • Microsoft.Exchange.Monitoring.exe
  • Store.exe
  • Microsoft.Exchange.Pop3.exe
  • TranscodingService.exe
  • Microsoft.Exchange.Pop3service.exe
  • UmService.exe
  • Microsoft.Exchange.ProtectedServiceHost.exe
  • UmWorkerProcess.exe
  • Microsoft.Exchange.RPCClientAccess.Service.exe
  • W3wp.exe

Bei installiertem Forefront Security für Exchange zusätzlich noch diese Applikationen/Prozesse

  • Adonavsvc.exe
  • FscStatsServ.exe
  • FscController.exe
  • FscTransportScanner.exe
  • FscDiag.exe
  • FscUtility.exe
  • FscExec.exe
  • FsEmailPickup.exe
  • FscImc.exe
  • FssaClient.exe
  • FscManualScanner.exe
  • GetEngineFiles.exe
  • FscMonitor.exe
  • PerfmonitorSetup.exe
  • FscRealtimeScanner.exe
  • ScanEngineTest.exe
  • FscStarter.exe
  • SemSetup.exe

Sicherheitsbewertung von SBS Umgebungen

Posted by o.sommer

Der SBS hat zwar seit der Version 2008 keinen integrierten ISA Server mehr, weil eine solche Konfiguration (SBS = DC mit mehreren Netzwerkkarten) von Microsoft schlicht nicht mehr unterstützt wird, aber:

der SBS 2008 und alle SBS 2011 haben trotzdem standardmäßig die Windows Server Firewall aktiviert und konfiguriert

  • die ist zwar relativ einfach gestrickt, aber der Erfolg gibt ihr Recht, denn die Windows Firewall hatte, meines Wissens nach, noch nie eine Sicherheitslücke

 

es ist vorgesehen einen SBS hinter einer Firewall bzw. mindestens einem NAT Router zu betreiben, wobei

  • der NAT Router aus Angreifer-Sicht schon einmal sehr viele potenzielle Angriffs-Szenarien unmöglich macht, da der Angreifer kaum eine Chance hat über das NAT (Network Address Translation) direkt an den SBS ranzukommen, außer an den Schnittstellen die dafür vorgesehen und speziell abgesichert sind
  • Diese durch den NAT Router zugänglichen Schnittstellen wären z.B. der Webserver der die Remote Web App Site betreibt, die aus diesem Grund nur Zugriffe erlaubt die sich authentifiziert haben, dasselbe gilt für die Websites die für Outlook Web App und Outlook Anywhere und Co. auf dem SBS betrieben werden, alle erfordern die Eingabe von Benutzernamen und Passwort, bevor man an irgendwelche potenziell verwertbaren Informationen herankommt

Hinzu kommt die securitytechnisch hervorragende Historie der Anwendungen auf dem SBS. AD DS, Exchange und Sharepoint haben wenig bis keine wirklich effektiv ausnutzbaren Sicherheitslücken.

In SBS Umgebungen werden alleine durch die obigen Maßnahmen schon die Sicherheitsfeatures erfüllt, wie Sie auch in vielen Konzern Infrastrukturen als völlig ausreichend bewertet werden.

Nur halt schon out-of-the-box und standardmäßig durch die Assistenten „sicher“ konfiguriert.

Service Pack 1 - Allgemein verfügbar

Posted by T.Brinkmann

Das Service Pack 1 für Windows 7 und Windows Server 2008R2 steht nun für jeden zum download bereit, bzw. ist per Windows Update verfügbar:

http://support.microsoft.com/kb/976932

Könnte das SP1 auf dem SBS2011 auch installiert werden? –> Ja. Die Installationsroutine funktioniert auch auf einem SBS2011. Allerdings gibt es noch keine offiziellen Aussagen, ob das SP1 auf dem SBS2011 zu 100% funktioniert, bzw. welche Dienste / Funktionen des SBS2011 nach der Installation des SP1 angepasst werden müssen.

Generell ist zu Bedenken dass das SP1 in erster Linie eine Updatesammlung aller bisher erschienenen Updates des Server 2008R2 bzw. Win7 ist. Da der SBS2011 Std. weder Hyper-V Host, noch RemoteDesktop-Sitzungshoste sein sollte, bzw. sein kann, sind die neuen Funktionen des SP1 “RemoteFX” und “DynamicMemory” eher uninteressant.

In diesem Forenbeitrag wird von der Installation des SP1 abgeraten.

Symantec Endpoint Protection Manager 11.x is not updating 32 or 64 bit virus definitions

Posted by T.Redelberger

Problem

Why is Symantec Endpoint Protection Manager 11.x not updating 32 or 64 bit virus-definitions?

Symptoms

Symantec Endpoint Protection Clients do not update virus definitions.

  • Symantec Endpoint Protection Manager shows old virus definitions in "Admin > Server > Local Site >Show LiveUpdate Downloads".

Cause

Old or corrupted virus definitions prevent Symantec Endpoint Protection Manager to update with new downloaded virus definitions.

Solution

Steps to clean Virus Definitions folders and republish Live Update Product Inventory on Symantec Endpoint Protection Manager:

  1. Delete the content of folder %ProgramData%\Symantec\LiveUpdate\Downloads\
    Note: Application Data is a hidden folder. Delete the content of the Downloads folder, but not the folder itself.
  2. Update the LiveUpdate catalog by opening the following link in Internet Explorer:
    http://localhost:9090/servlet/ConsoleServlet?ActionType=ConfigServer&action=PublishLuInventory
    After few seconds you will get a confirmation message "Responsecode="0".
  3. Stop the services "Symantec Endpoint Protection Manager" and "Symantec Endpoint Protection"
    To stop the services:
    1. Go to Start > Run.
    2. Type the following: Services.msc
    3. Select and stop the above mentioned services.
  4. Delete ONLY the numbered or TMP folders inside the following paths:
    • %ProgramFiles(x86)%\symantec\symantec endpoint protection manager\inetpub\content\{1CD85...
    • %ProgramFiles(x86)%\symantec\symantec endpoint protection manager\inetpub\content\{C60DC...
    • %ProgramData%\Symantec\Definitions\SymcData\sesmvirdef32
    • %ProgramData%\Symantec\Definitions\SymcData\sesmvirdef64
    • %ProgramData%\Symantec\Definitions\VirusDefs
  5. Launch the process LUALL.EXE from %programfiles(x86)%\Symantec\LiveUpdate (May be requested to click on "START")
    LiveUpdate should run for some minutes (5-10 min), if some error messages are displayed, exit and launch again LUALL.exe
  6. Restart both Symantec Endpoint Protection services when LiveUpdate is complete.
  7. Verify the numbered folders of virus definitions are created in the following paths:
    (There might be just 2-3 folders in the beginning, but the default number is 10 folders)
    • %ProgramFiles(x86)%\symantec\symantec endpoint protection manager\inetpub\content\{1CD85...
    • %ProgramFiles(x86)%\symantec\symantec endpoint protection manager\inetpub\content\{C60DC...
  8. Log on to Symantec Endpoint Protection Manager Console and launch a LiveUpdate from Admin > Server > Local Site > Download LiveUpdate content.
  9. Verify the correct download/usage of new virus definitions from "Admin > Server > Local Site >Show LiveUpdate Downloads".

Source: http://www.symantec.com/business/support/index?page=content&id=TECH104721&locale=en_US

USA Einreise kann eine “Herausforderung” sein….

Posted by O.Sommer

Ein Artikel der Site wired.com schildert einen interessanten Fall von “secondary Inspection” der den Schauergeschichten entspricht, die man unter Kollegen die viel in die USA reisen immer mal wieder diskutiert. Er zeigt wie die USA Einreisebehörden ihre potenzielle Macht ausüben und warum einige Kollegen nur noch ohne Laptop oder mit mehrfach sicher gelöschten, leeren Festplatten in die USA reisen um sich die dort benötigten Daten dann nach der Einreise über sichere Datenübertragungswege über das Internet (DirectAccess, VPN, etc.) auf das Gerät zu laden.

image

Interessant an diesem Artikel ist, das die Geräte trotz der Weiterung von Moxie die Passwörter herauszugeben, nach einigen Stunden an ihn zurückgegeben wurden. Leider kann man, sollte einem das selber passieren, wie im Artikel von Moxie angesprochen, diesen Geräten anschließend nicht mehr vertrauen und kann diese eigentlich nur noch über ebay (möglichst weit weg vom persönlichen Umfeld) verkaufen.

Hier findet ihr den Artikel: http://www.wired.com/threatlevel/2010/11/hacker-border-search/

Ein weiteres Beispiel für die "grandiose Feinfühligkeit" der Sicherheitsbehörden:
http://www.msnbc.msn.com/id/40291856/ns/travel-news

How to use your own Wireless (WIFI) card as a relay AccessPoint to connect other WLAN devices to the Internet via any providers uplink

Posted by o.sommer

Windows 7 offers a very cool feature where you can connect multiple devices to any wired and wireless network connection (hotel, cable, 3G, UMTS, EDGE, WIFI, RJ45, Ethernet, etc.) by turning your own laptop into a wireless AP (Access Point) to relay those devices not directly connected to the internet.

For this just enter these two commands to an elevated (right click on CMD.EXE, run as administrator):

netsh wlan set hostednetwork mode=allow ssid=YOURFRIENDLYSSID key=SOMEPASSWORD
netsh wlan start hostednetwork

At this point, if Internet Connection Sharing (ICS) is setup, anyone can connect to your SoftAP (if they know the PWD of course) and the traffic will be sent through whatever adapter you want. You can actually bridge it across an entirely different adapter... or the same on a different Wifi LAN.

A GUI to set this up can be downloaded for free here: http://www.connectify.me/

Some popular Microsoft Products End of Life this summer

Posted by o.sommer

As you may be aware, there are a number of Microsoft Windows versions which will go out of support during the coming year:

Windows 2000 Professional and Windows 2000 Server are approaching 10 years since their launch and both products will go out of support on July 13, 2010.

Windows XP was launched back in 2001. While support for the product will continue, Service Pack 2 will go out of support on July 13, 2010. From that date onwards, Microsoft will no longer support or provide free security updates for Windows XP SP2.  Please install the free Service Pack 3 for Windows XP to have the most secure and supported Windows XP platform.

Finally, Windows Vista with no Service Packs installed will end support on April 13 2010.  Please install the free Service Pack 2 for Windows Vista to have the most secure and supported Windows Vista platform.