Názory k článku Velké dopady chyby v Microsoft Exchange, bezheslové přihlašování a obviněný John McAfee

Možná by bylo fajn, kdy autor hned v textu vypíchl ten hlavní bod, co se týká oné chyby v Exchange serveru, aby to pak ostatní nemuseli hledat na internetu.. netýká se to hostovaných Exchange 365 mailboxů, týká se to pouze lokálních instalací (ve firmách) a to POUZE verzí Exchange 2010 - 2019.. netýká se to např. Exchange 2007 či staršího Exchange 2003.. .. to si pak jeden říká, že bezpečnostní concept "security by obscurity" má něco do sebe.. - přirovnal bych to tomu, že kdo má dneska na telefonování Nokia 5110 tak je naprosto vysmátej, protože na podobný typ telefonu opravdu viry neexistují - a plní svou základní funkci (tj. volání).. dnešní smart phones jsou peklo a mají zbytečně moc funkcí, které řada lidí nepotřebuje. to samé i ty novější verze Exchange.

v jednoduchosti je zkrátka síla..

Já si za tím tvrzením (security by obscurity) pevně stojím.. ať si kdo chce, tvrdí co chce.. pokud se IT věnujete více jak 20 let, no.. možná tak přes 30 let.. tak určitě si dokážete vybavit, že takové Windows 3.11, Office 95 spadaly to doby, kdy dostupný prostor distribučních médií + storage HDD capacity v PC vyžadovaly MAXIMALNE EVEKTIVNI produkční sw kod.. nesmělo se plýtvat na zbytečnostech a duplicitách..

fast-forward rok 2010-2015 .. na trhu je nepřeberné množství ready-made frameworku, C++ visual editorů a kdo ví, čeho ještě.. Zkušený programátor poskládá sofistikovanou utilitu díky tomu za víkend - s neskutečnou mírou balastu! a to samé Windows 7 či Windows 10 .. interní funkce těchto systémů v žádném případě nevysvětlují a ani neobhajují, proč by měl být kod Windows cc 10x větší než předchozí verze (něco zaberou možná tisíce ovladačů - ale v době internetu všude opravdu nemusí být součástí tovární distribuce).

zkrátka.. totální sr-čky, které máme všichni na PC jsou dány dvěma faktory:

a) exponenciální růst dostupné kapacity HDD, kde nikdo nehledí na cenu místa
b) totální laxnost a lenost jakéhokoliv programátory / firmy, aby se snažili o co nejvíce efektivní / komprimovaný kod - PROC? nemají důvod.. všechno namrskají do nějakého visual editoru, který s sebou nese stovky MB balastu (a i možných chyb), a protože je nic netlačí k zeštíhlení kodu, tak jsme tam - kde jsme.. v P-R-D-.. L I..

čím starší kod, tím méně funkcí - a tím potenciálně v dnešní době bezpečnější.

Princip exploitace je mi znám dobře, analyzoval jsem minulý týden dva incidenty s hackem Exchange. Že útočníci používali PowerShell na již zkompromitovaném serveru ještě neznamená, že zranitelnost je v PS. Mimochodem, ty zranitelnosti jsou celkem 4, ta vstupní (SSRF) se prostřeluje právě přes OWA (nebo ECP, kde to funguje taky), v logách jsou na začátku útoku požadavky na neexistující statický objekt v cestách /owa/ nebo /ecp/ a šikovně upravené cookies, které normálně řídí servírování obsahu - striktně vzato, není tato zranitelnost přímo v kódu vlastní aplikace OWA/ECP (BE website na portu 444), ale v URI namespace OWA/ECP na FE proxy před nimi (FE website na portu 443). Další tři zranitelnosti, které se používají v sérii s tou vstupní, se týkají UM (elevace oprávnění pomocí insecure deserializace objektu) a nekontrolovaných vstupů možňujících zápis soborů.

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

Security by obscurity se sice neda povazovat za zabezpeceni ale uznavam ze to ma neco do sebe. Dnes pomalu kazde druhe zabezpeceni obejde script kiddie behem nekolika sekund zmacknutim klavesy enter, avsak slusny mechanicky zamek umi jen ti zrucnejsi. ( Nedestruktivne)

Příměr s mobily bych nepoužil, ty starší jsou po IP síti samozřejmě nenapadnutelné, když o tomto protokolu nevědí vůbec nic. Naproti tomu všechny verze Exchange serveru jsou síťovou službou a attack surface prvních verzí byl sice o něco menší, ale ne řádově. OWA se objevila v 5.5, ActiveSync ve 2000 (pomocí MIS 2001, v Exchange 2003 pak nativně), OA ve 2003, EWS ve 2007 a od té doby se portfolio služeb nabízených Exchange serverem už prakticky nerozšířilo.

Jinak to, že nejsou verze 2007 a starší uvedené mezi zranitelnými, je spíš důsledkem toho, že už jsou delší dobu nepodporované a tak se jimi už nezabývali. Nicméně počínaje verzí 2000 je tam velký potenciál pro kompletní kompromitaci systému u zranitelností umožňujících RCE nebo zápis souborů, protože většina kódu běží v kontextu LocalSystem (5.5 a starší byly v tomto ohledu udělané líp a daly se běžet "utaženě").

asi jste nepostřehl princip té zranitelnosti - nemá to nic společného s OWA, ale úžasně nevkusným PowerShell prostředím.. zk-rvený MS měl ještě tu drzost tu vyzdvihovat jako úúúúúúúžasně inovativní přístup, který neskutečně zjednoduší administraci všeho možného v Exch prostředí.. (totálně padlé na hlavu už jen při té myšlence, že stačí vynechat lomítko či tečku ve scriptu o 150 znacích a jste v hájí)

ale o totální a kolosální neschopnosti MS vs. PowerShell svědčí i to, že se JAKSI ty command scripty lišily mezi tím, zdali jste měl Exch s SP1 .. SP2 či SP3 .. script v PS od SP1 totiž nefungoval v SP2 - kde to ti ko--kti z MS s naprosto nepochopitelného důvodu měli potřebu změnit. K-- teni!