News

Aktuelle Sicherheitsmeldungen

 

Achtung! Exploit-Code für Schwachstelle im Citrix ADC gesichtet

Durch eine noch nicht geschlossene Schwachstelle könnte es zu Angriffen auf Citrix ADC und Gateways kommen. Citrix arbeitet fieberhaft an einem Patch. Bis dahin sollte ein Workaround durchgeführt werden.

Wie in dieser Woche bekannt wurde, sind für die seit Ende letzten Jahres bekannte und noch nicht geschlossene Sicherheitslücke (CVE-2019-19781) in Citrix ADC erste Exploit-Codes und Proof-of-Concepts aufgetaucht.

Die Schwachstelle sorgt dafür, dass es einem Angreifer möglich ist, ohne zuvor erfolgter Anmeldung mit nur einer Anfrage Schadcode einzuschleusen und auszuführen.

Wurde bisher die Lücke scheinbar noch nicht ausgenutzt, mehren sich nun die Berichte über Angriffe auf Honeypots und Online-Scans nach verwundbaren Systemen. Administratoren, die für Citrix ADC verantwortlich sind, sollten daher umgehend handeln!

Ein Sicherheitspatch wurde für Ende des Monats angekündigt. Bis dahin sollten Admins unbedingt den von Citrix herausgegebenen Workaround ausführen!

Ob Ihre Citrix-Software verwundbar ist, können Sie mit dem von der Cybersecurity and Infrastructure Security Agency (CISA) veröffentlichten Tool prüfen.

Falls Sie Rückfragen hierzu haben oder Hilfe benötigen, kontaktieren Sie uns einfach telefonisch unter +49 511 968 41 0 oder per mail an info[A&R]ar-hannover.de

 

 

2020 LDAP-Kanalbindung und LDAP-Signaturanforderung für Windows

Digitale Signaturen und Verschlüsselung haben sich als ideale Mittel gegen die Fälschung von LDAP-Aktionen erwiesen. Daher hat Microsoft schon vor einiger Zeit diese Funktionen per Update für Clients und Server bereitgestellt, aber noch nicht erzwungen. Dies wird sich mit dem im März 2020 erscheinenden Sicherheitsupdate ändern. Daher sollten Sie im Vorfeld Ihre Systeme prüfen und ggf. reagieren.

Schon vor einiger Zeit hat Microsoft für März 2020 ein Sicherheitsupdate angekündigt. Das Besondere daran: Es enthält einen Patch, der die LDAP-Kanalbindung und die LDAP-Signatur auf dem Active Directory-Domänencontroller standardmäßig aktiviert und zeitgleich dafür sorgt, dass unverschlüsselte bzw. unsignierte LDAP-Abfragen gegen Windows-Domänencontroller geblockt werden. Ziel ist es, die Sicherheit der Netzwerkkommunikation zwischen Active Directory und den dazugehörigen Clients zu erhöhen.

Dies ist natürlich generell eine gute Sache. Allerdings sind Probleme, die nach der Umstellung auftreten könnten, nicht auszuschließen, da es in fast jeder Umgebung Services gibt, die sich per LDAP an die Domain-Controller wenden ( z.B. Firewall, Mailgateway, Drucker, Reverse Proxy PreAuth/WebApp Auth….)

Was ist nun zu tun? Bis zum Erscheinen des Sicherheitsupdates sollten alle Applikationen und Geräte ermittelt werden und entsprechend manuell umgestellt werden. Microsoft empfiehlt hierzu die in ADV 190023 beschriebenen Schritte bis zum März ausgeführt und umfangreich getestet zu haben, damit dann im März bei Erscheinen des Updates dieses problemlos angewandt werden kann.

Falls Sie Rückfragen hierzu haben oder Hilfe bei der Umstellung benötigen, kontaktieren Sie uns einfach telefonisch unter +49 511 968 41 0 oder per mail an info[A&R]ar-hannover.de.

 

 

LDAPs im Zusammenspiel mit ONTAP

Eben dieser Sicherheitspatch hat leider auch seine Nachteile, da er, wenn die Kommunikation bis zur Veröffentlichung auf den mit dem Active Directory verbundenen Geräten nicht auf LDAPS umgestellt wird, die Funktionalitäten beeinträchtigen kann.

Gerade bei NetApp-Systemen, die zur Verwaltung des Datenzugriffes auf das Active Directory bzw.  LDAP setzen, kann dies eine fatale Auswirkung haben, welche im ungünstigsten Fall dazu führen kann, dass der Datenzugriff unterbunden wird.

Konkret betrifft dies das LDAP Signing, welches die Signierung von LDAP durchführt und welches eine Umstellung mit dem Sicherheitspatch erfährt.

Deswegen ist es zwingend notwendig, dass die Kommunikation bei Ihren NetApp-Systemen so umgestellt wird, dass Sie auch nach Umstellung durch den Sicherheitspatch ohne Unterbrechung auf Ihre Daten zugreifen können.

NetApp hat zu diesem Thema ebenfalls einen Artikel veröffentlicht, welchen Sie unter folgender Adresse finden:

https://kb.netapp.com/app/answers/answer_view/a_id/1103575

Unsere Empfehlung, damit Sie unbesorgt weiter auf Ihre Daten zugreifen können, ist, dass Sie vor der Active Directory- Umstellung Ihre NetApp Systeme anpassen. Diese Umstellung kann ohne Unterbrechung durchgeführt werden und bestehende Verbindungen sollten davon nicht beeinträchtigt werden.

Gerne unterstützen wir Sie bei der Anpassung bzw. Konfiguration. Bitte kontaktieren Sie hierzu Ihren zuständigen Account Manager oder unseren Support.

Die Anpassung ist nicht Bestandteil des Servicevertrags der NetApp Systeme.

 


Supportende für Windows Server 2008/2008 R2 und WSUS 3.0 am 14.01.2020

Nun ist es soweit: Microsoft beendet den Support für die Produkte Windows Server 2008 und Windows Server 2008 R2. Ebenso fällt WSUS 3.0 aus dem Support. Falls Sie diesbezüglich noch nicht tätig geworden sind, sollten Sie spätestens jetzt reagieren.

Am 14. Januar 2020 erhielten die Server-Betriebssysteme Windows Server 2008 sowie Windows Server 2008 R2 letztmalig Sicherheitsupdates. Danach wird es keine Unterstützung mehr für die Produkte geben. Sie haben für den Tag vorgesorgt und Ihre auslaufenden Server bereits ersetzt? Wunderbar! Falls Sie aber noch keine Schritte zur Aktualisierung getätigt haben, sollten Sie jetzt tätig werden. Der Betrieb von Servern über das Support-Ende hinaus bringt erhebliche Risiken mit sich und darf daher keine Option sein. Generell haben Unternehmen, die noch keine Aktualisierung durchgeführt haben, drei Möglichkeiten:

  • Migration zu Microsoft Azure. Hierdurch wird die Versorgung für weitere drei Jahre sichergestellt.
  • Kostenpflichtiger Support für drei Jahre durch das Microsoft Extended Security Update Programm.
  • Aktualisierung der Server auf neuere Versionen (Windows Server 2016 oder 2019)

Die ersten beiden Optionen sollten dabei aber nur als eine Zwischenlösung angesehen werden und keinesfalls als Dauerzustand. Eine Aktualisierung von 2008 auf 2019 bedeutet zwar einen größeren Aufwand, da sie eine Neuinstallation der Server beinhaltet, ist aber dennoch die beste Lösung, da Sie so von den Neuerungen des Betriebssystems profitieren und die höchstmögliche Sicherheit für Ihr System gewährleisten können.

Weitere Gründe, warum Sie nicht erwägen sollten, die Arbeit mit den alten Servern fortzusetzen, sind drohende Bußgelder, da ein nicht reibungslos funktionierendes Patch- und Änderungsmanagement einen Verstoß gegen Compliance-Vorschriften darstellt. Außerdem könnten Probleme bezüglich der Einhaltung der DSGVO entstehen und die auf den Servern installierte Software könnte unter Umständen die Unterstützung verlieren, weil z.B. Support-Mitarbeiter auf nicht mehr unterstützen Systemen keine Hilfe mehr leisten können.

Alles gute Argumente für einen Wechsel - und für einen Anruf bei Anders & Rodewyk, denn egal welche weiteren Schritte Sie für Ihre Umgebung planen, wir stehen Ihnen gern mit Rat und Tat zur Seite.

Sie haben weitere Fragen zu dem Thema oder möchten über eine Aktualisierung sprechen?
Kontaktieren Sie uns unter +49 511 968 41 0 oder info[A&R]ar-hannover.de!

Unsere wichtigsten Partner