Jetzt geht’s aber los. Da kommt der Uhle doch glatt mit einem „Anti-Emotet-Update“ um die Ecke. Was soll das denn jetzt wieder? Schuld ist natürlich Microsoft. Denn der Software-Riese hatte nun zum „Patchday“ gerufen. „Ihr Kinderlein, kommet“, so kurz vor Weihnachten. Und ganz unscheinbar hatten sie auch dazu aufgerufen, die Gefahr, von Emotet angegriffen zu werden, abzuwenden. Ich weiß ja, wie Geschäftskunden so sind: „Dazu brauchen wir ein Wartungsfenster, das ist zeitlich schwierig“. Aber es muss ja gemacht werden, oder?
Anti-Emotet-Update? Echt jetzt?
Vor ziemlich genau einem Monat habe ich davon erzählt, dass die Emotet Ransomware zurück ist. Wir wissen doch alle, wie das so ist: Täglich steht irgendwer auf und behauptet, noch nie davon gehört zu haben. Bevor ich mich aus den sozialen Netzwerken zurückgezogen habe, hatte ich ja auch meine Artikel dahin geworfen. Allerdings hatte dort niemand davon Notiz genommen, welche Gefahr da auf uns zurollt. Glücklicherweise hat Microsoft für ihre Verhältnisse recht schnell reagiert.
Microsoft is aware of attacks that attempt to exploit this vulnerability by using specially crafted packages that include the malware family known as Emotet/ Trickbot/ Bazaloader
Hackernews zitiert Microsoft
Microsoft ist es also bewusst, dass es Angriffe gibt, die eine spezielle Sicherheitslücke ausnutzen. Dafür benutzen die Angreifer speziell gestaltete Pakete, die eben Emotet und Konsorten enthalten. Und genau deshalb sollen Administratoren Windows-Systeme mit den aktuellen Updates versorgen. Ganz besonders wichtig ist der neue App Installer, den man hier erhält. Auf der Seite stehen noch mehr Informationen, die durchaus von herausragender Wichtigkeit sind. Ich meine ja nur.
Die komplette Liste aller Updates mit Release Note finden wir dann im Security Update Guide. Es ist vielleicht nicht jedem klar. Aber das oben gezeigte Zitat gehört zum App Installer. Das ist die wirkliche Emotet/Trickbot/Bazaloader-Lücke. Und damit ist alles, was zu CVE-2021-43890 zu lesen ist, das eigentliche Anti-Emotet-Update. Sagt nicht, ihr hättet von nichts gewusst.
Aber Exchange!?!?
Ja, ich muss auch ein bisschen Wasser in den Wein gießen. Denn es gibt kein neuerliches Security Update für Exchange Server. Ich glaube, Microsoft war das mit dem Anti-Emotet-Update einfach mal wichtiger. Und es ist dann auch einfach mal so, dass wir froh sind, so kurz vor Weihnachten um die Erklärung herum zu kommen, dass man durchaus die Hilfeartikel von Microsoft hernehmen kann, wenn man nicht weiß, wie so ein Security Update zu installieren ist. Ich erzählte ja bereits davon.
Nein, Microsoft hat bekannt gegeben, dass die Updates für Exchange Server verschoben wurden. Das erklärte Microsoft lapidar in 3 Sätzen. Jetzt könnte man sehr viel spekulieren, was hier dahinter steckt. Aber das hilft ja niemandem. Klar ist, dass zum Patchday keine Updates für die unterstützten Exchange Server herausgegeben wurden. Darüber muss man sich jetzt nicht wundern, das kann meiner Meinung nach eigentlich immer mal passieren.
Und log4j?
Natürlich könnte man nun auch hergehen und über die Lücke bei log4j grübeln. Wieso wurden denn die log4shell nicht geschlossen? Vielleicht liegt es ja daran, dass diese Lücke erst ganz frisch bekannt ist? Wie gesagt, meiner Ansicht nach hat sich Microsoft darauf konzentriert, das Anti-Emotet-Update bereitzustellen. Ich halte das dann auch für legitim. Ich kann mir vorstellen, dass kein Update über Nacht fertig wird und dann einfach über den Zaun geworfen wird.
Ja, ich weiß schon: Es gibt Situationen, in denen man denkt, dass die eigentliche Qualitätsprüfung von Updates bei den Kunden erfolgt. Aber was die log4j-Geschichte betrifft, muss man tatsächlich vorsichtig sein mit solchen Behauptungen. Schließlich greift das Alles ziemlich tief ins System ein. So wie auch die Exchange Security Updates oder jetzt aktuell dieses Anti-Emotet-Update. Weitere Updates werden folgen. Wichtig ist, seine Systeme so aktuell wie möglich zu halten. Das reduziert Gefahren, auch wenn es keine absolute Sicherheit geben kann. Oder seht ihr das anders?
Es ist also doch etwas komplexer als es der SPIEGEL beschreibt:
„Das hauptsächlich von zwei Freiwilligen gepflegte Open-Source-Werkzeug wird benutzt, um zu protokollieren, was innerhalb einer Java-Anwendung passiert. ……… Open-Source-Projekte werden häufig von Freiwilligen übernommen und mitunter nur in deren Freizeit gepflegt. Im besten Fall bekommen die Freiwilligen hin und wieder Spenden, aber die entsprechen selten dem Anspruch an ihre Arbeit und dem Aufwand. Menschliche Fehler wie im Fall von Log4j oder OpenSSL rutschen deshalb eher mal durch. Es fehlen die professionellen Strukturen von Unternehmen, in denen unter anderem Sicherheitschecks regelmäßig und nach bestimmten Vorgaben durchgeführt werden, weil es dafür eigens vorgesehenes Personal gibt.“
https://www.spiegel.de/netzwelt/web/log4j-sicherheitsluecke-wie-loescht-man-ein-brennendes-internet-a-27729847-8e28-4187-b4a2-468a45137fb4
Mein Provider sagte, sie verwenden das nicht und seien nicht betroffen, Aber ich solle meine WordPress-Installationen auf dem neuesten Stand halten. Hab ich dann auch wieder mal gemacht und alles geupdated, was upzudaten war.
Bin gespannt, was sich da noch so ergibt. Ganz allgemein hab ich schon immer keine Lust, mich komplett von Clouds abhängig zu machen. Wer weiß, was da bei den Hostern alles passieren kann!
Grundsätzlich musst du eh darauf hoffen, mit den verfügbaren Updates nach dem Installieren die Gefahren so gering wie möglich halten zu können. Es scheint so, als ob nicht mal ansatzweise klar ist, wie groß der Schaden bei der ganzen Nummer ist. Letzten Endes kommen auch wieder die „Ich habe nichts zu verbergen“-Schulterzucker um die Ecke. Da weiß ich nicht, ob man da weinen oder lachen soll.