Wij zijn dagelijks bezig met het up-to-date houden van onze systemen en dat van onze klanten. Daarbij is het niet alleen van belang om gewoonweg de beschikbare updates te installeren. Veel updates vereisen namelijk ook aanpassingen in de omgeving, bijvoorbeeld omdat een bepaald protocol niet meer wordt ondersteund of doordat bepaalde stukken software op een gegeven moment niet meer onderhouden worden door de leverancier. Dit kan flinke impact hebben op de omgeving en daarom is het goed om hier op tijd mee te beginnen.
In deze Tech/update willen we graag aandacht geven aan kwetsbaarheden in AD FS (CVE-2023-35348) en Exchange, het feit dat TLS 1.0 en 1.1 actief uitgeschakeld gaan worden in toekomstige versies van Windows 11 en een update update voor Microsoft Sentinel, namelijk de introductie van “Workspace Manager”.
TLS 1.0 en TLS 1.1 binnenkort actief uitgeschakeld in Windows
Waarschijnlijk wordt er al geen gebruik meer van gemaakt in jouw organisatie, maar let er op dat Microsoft vanaf september gaat starten met het uitschakelen van de oude TLS protocollen TLS 1.0 en 1.1. Als eerste zal dit in de Windows 11 Insider Builds plaatsvinden. Windows 11 Insider Builds zijn pre-releaseversies van het Windows 11-besturingssysteem die beschikbaar zijn gesteld aan leden van het Windows Insider-programma. Dus alleen als je je hier voor hebt aangemeld zul je deze versie kunnen gebruiken.
In de toekomst zullen voor alle nieuwere versies van Windows de betreffende protocollen uitgeschakeld door een registersleutel aan te passen. Het in- en uitschakelen van TLS kan met registersleutels worden gemanaged. Goed dus om dit op een gecontroleerde manier te doen en verrassingen te voorkomen. Meer hierover kun je lezen in dit Microsoft artikel https://techcommunity.microsoft.com/t5/windows-it-pro-blog/tls-1-0-and-tls-1-1-soon-to-be-disabled-in-windows/ba-p/3887947.
Beperkingen voor het versturen van e-mail vanaf verouderde versies van Exchange
Mocht je nog gebruik maken van een oude Microsoft Exchange installatie, om bijvoorbeeld in een hybride situatie interne mails door te sturen naar Microsoft Exchange Online, let dan op. Microsoft gaat inkomende mail flow binnen Exchange online van niet meer ondersteunde Exchange versies aan banden leggen. Hierbij wordt gestart met Exchange 2007, gevolgd door Exchange 2010 en Exchange 2013. Zaak dus om te zorgen dat deze verouderde systemen op tijd zijn uitgefaseerd. Lees meer over deze aankondiging op https://techcommunity.microsoft.com/t5/exchange-team-blog/throttling-and-blocking-email-from-persistently-vulnerable/ba-p/3815328.
Actie nodig na Security Update AD FS juli 2023 (CVE-2023-3534)
De security update van juli 2023 voor Microsoft Active Directory Federation Services dicht een kwetsbaarheid binnen AD FS (CVE-2023-35348). Tot zover niets nieuws, maar deze patch vereist echter nog een handmatige actie na installatie die vaak vergeten wordt. Als het goed is wordt hierover ook een melding gelogd in het eventlog. Op de ADFS farm moet na installatie van de security update de adfs property “EnforceNonceInJWT” worden ingeschakeld. Dit kan met het volgende PowerShell commando:
Set-AdfsProperties -EnforceNonceInJWT EnabledDe reden voor deze handmatige actie is dat clients ook up-to-date moeten zijn voordat deze functionaliteit kan worden ingeschakeld. Je kunt in het evenlog monitoren op event id 187 om te kijken of er nog clients zijn die niet zijn bijgewerkt en verbinding maken met ADFS.
Meerdere Microsoft Sentinel omgevingen beheren met Workspace Manager
Microsoft heeft binnen Microsoft Sentinel (de SIEM/SOAR cloud oplossing van Microsoft in Azure) nu “Workspace Manager” geïntroduceerd. Wij gebruiken zelf als MSP Azure Lighthouse om Microsoft Sentinel voor meerdere klanten te beheren, maar voor grote organisaties kan de Workspace Manager erg nuttig zijn om het beheer te vereenvoudigen. Wanneer je bijvoorbeeld meerdere tenants hebt te beheren, kun je deze nu opnemen in Workspace Manager en gebruik maken van dezelfde set analytics rules. Lees meer op https://learn.microsoft.com/en-us/azure/sentinel/workspace-manager.
Heb je een andere CVE of (Security) Update waar je graag meer over wilt weten?
We gaan graag met je aan de slag om te bepalen of iets impact gaat hebben op jouw omgeving. Dit kan natuurlijk via een vraag naar onze technische mannen (helpdesk@gtsonline.nl), maar we kunnen hier ook een blogje aan wijden. Kom dan ook vooral eens in de lucht, vinden we leuk!