veeam Sicherheitslücke mit Score 9.9

Kurz notiert, aber #wichtig - Diesmal ist bei der CVS Meldung von veeam die vielfach von Ihnen eingesetzte Backup und Recovery Software gemeint. Darin wurde eine kritische Sicherheitslücke entdeckt und mit Version 12.3.1.1139 geschlossen.

Auch wenn Sie schon die Version 12.3 installiert haben, ist das Update auf die oben angezeigte Version dringend erforderlich - erst recht, wenn ältere Versionen mit noch mehr bekannten Sicherheitslücken installiert und in Betrieb sind.

Schwachstellen in Microsoft Onlinediensten

Immer wieder erreichen uns Anfragen zu möglichen Schwachstellen oder #Sicherheitslücken in Microsoft Azure, Exchange online oder Microsoft 365.

Da es sich hierbei um eine Plattform von Microsoft handelt, liegt die Analyse (und bei den reinen SaaS Diensten wie M365, CRM, Dynamics, auch die Behebung) potenzieller Sicherheitslücken in der Verantwortung von Microsoft. Wir empfehlen Ihnen, die offiziellen Sicherheitsmitteilungen und Empfehlungen von Microsoft zu konsultieren. Diese finden Sie im Microsoft Security Response Center (MSRC) oder im Azure Service Health Dashboard.

Für eine detaillierte Überprüfung und Unterstützung wenden Sie sich bitte direkt an den Microsoft Support, da wir in diesem Fall weder unterstützen, noch potentielle Schwachstellen schließen können.

Remotedesktop Store app wird eingestellt

Je nach Windows 10 oder 11 Edition kann es sein, dass Remotedesktopverbindung (Remote Desktop Client für Windows, blaues Icon) als Win32 Programm installiert ist und somit in der Programme und Funktionen Liste auftaucht. Es gibt aber auch Systeme, wo dieser Client nicht installiert ist (Unter Programme und Features in der Systemsteuerung fehlt dann der Eintrag "Remotedesktop") und somit eine alte Version mit weniger Funktionalität liegt vor.

Wenn es also bei Ihnen in der Systemsteuerung unter Programme und Funktionen rot aussieht, ist alles in Ordnung. Microsoft hat nachträglich diesen Hinweis zugefügt, dass nur die App aus dem Store betroffen ist.

Zusätzlich kann aber die RemoteDesktop App aus dem Windows Store installiert und für RDP-Verbindungen genutzt sein. Nur diese App aus dem Store kann ab 27. Main 2025 nicht mehr verwendet werden. "Remotedesktop" und "Remotedesktopverbindung" aus der Systemsteuerung funktionieren weiter. #endoflife

[time_until date="27.05.2025"]

In allen Fällen ist es empfehlenswert, die aktuelle Remotedesktop Software 1.2.6017.0 (gemeint ist das .msi Installationsprogramm) zu installieren. Diese kann bei Microsoft heruntergeladen werden. Hinweis zum Link: In dem Microsoft-Artikel ist immer noch die Store-App beschrieben. Ignorieren Sie bitte den Tab: "Windows (Store)".

[linkbutton link="https://learn.microsoft.com/de-de/previous-versions/remote-desktop-client/connect-windows-cloud-services?tabs=windows-msrdc-msi#download-and-install-the-remote-desktop-client-for-windows-msi" label="Microsoft Remotedeskop .msi installer herunterladen"]

Das .msi Remotedesktop Programm wird häufig auch für Verbindungen zum Azure Virtual Desktop (AVD) genutzt, denn es enthält nicht nur mstsc.exe (Remotedesktopverbindung, blaues Symbol), sondern auch die remotedesktop.exe (rotes Symbol). Leider hat sie das gleiche rote Symbol, wie die abgekündigte Store-App.
Tipp: Wenn Die die Store-App deinstallieren möchten, wird ihnen das deinstallieren direkt unter der rechten Maustaste angeboten. Werden Sie stattdessten in die Systemsteuerung/Programme und Features weitergeleitet - dann dort nichts deinstallieren!

Weiterführende Informationen in diesem Microsoft Blog Post.

IGEL OS Updates auch wichtig

Wer IGEL OS 11 oder 12 einsetzt, sollte übrigens auch auf den jeweils aktuelle Firmware-Stand aktualisieren, denn dieser enthält auch einen aktuellen Azure Virtual Desktop (Linux) Client.

Fazit: Verwirrende Microsoft Bezeichnungen

1. Installieren Sie den oben im blauen Kasten als Link gesetzten .msi Installer. Er enthält MSTSC.EXE für Remotedesktop und Serverkonsolen sowie Remotedesktop.EXE für Azure Virtual Desktop Verbindungen.
2. Deinstallieren Sie NUR die "Remotedesktop" bezeichnete Store App in der Apps-Liste der Einstellungen und auf keinen Fall den "Remotedesktop" aus der Systemsteuerung! Wenn Sie beides versehentlich deinstalliert haben, dann zu Schritt 1 ;)

Bitte installieren Sie noch nicht die neue Windows App (.msix Installer, das Symbol ist ein blaues Quadrat mit Windows Logo in weiß), da damit weder Remote-Desktopverbindungen, noch (in einigen Regionen wie West Germany) AVD Verbindungen aufgebaut werden können.

Sicherheitslücken und Handlungsbedarf

Grundsätzlich besteht Handlungsbedarf, sobald Hersteller von Produkten, die Sie im Einsatz haben, Sicherheitsupdates veröffentlichen. Wir empfehlen daher, Ihre Systeme stets auf die neuesten verfügbaren Versionen zu aktualisieren.

Bitte beachten Sie, dass für viele Produkte (z. B. Veeam, vSphere, IGEL OS) ein aktives Abonnement oder eine laufende Software-Wartung erforderlich ist, um Updates zu erhalten - oder auf neue Versionen zu aktualisieren (Windows, Windows Server, Office uns Andere). Zudem gibt es oft Abhängigkeiten zwischen Software und Betriebssystemen – aktuelle Versionen unterstützen beispielsweise meist nur neuere Windows Server-Betriebssysteme. Dies gilt auch für Open-Source-Anwendungen wie MariaDB: Die aktuelle Version 11.4 LTS ist unter Windows nur ab Server 2019 einsetzbar.

Die neuesten Versionen der von Ihnen genutzten Software finden Sie auf den Herstellerseiten im Downloadbereich. Falls Sie Ihr Hard- und Software-Inventar erfassen möchten, empfehlen wir die quelloffene Software OpenAudit Classic. Diese stellt zudem eine Übersicht über aktuelle Versionsnummern einiger bekannter Produkte bereit. OpenAudit Classic können Sie im Download-Bereich des GWS Sysko-Portals herunterladen. Gerne unterstützen wir Sie bei der Installation – der Support erfolgt jedoch ausschließlich über die GitHub-Community.

Unser Fazit: Verlängern Sie regelmäßig Ihre Software-Wartungsverträge und installieren Sie zeitnah die aktuellen Patches, um Sicherheitslücken zu vermeiden.

Drucker – die Schüssel ist voll

Neulich beim IP-Scan kommt unter der IP-Adresse eines Druckers alle Information auf chinesisch. Also einen Teil davon in Google Übersetzer kopiert und verschiedene Dialekte ausgewählt. Bei „simplified chinese“ übersetzt dann Gugel: „Die Schüssel ist voll“. #Lustig

Mir fällt da sofort ein Comedy Video von Dieter Hallervorden zusammen mit Helga Feddersen ein, wo „Youre the one that i want“, ein Song aus dem Musical „Grease“ perfekt parodiert und in „denglisch“ aufgeführt wird: „Die Wanne ist voll – Uh oh oooh“.

Unklar ist, was die Textausgabe des Druckers meint. Mal beim nächsten Besuch im Chinarestaurant nachfragen – auch was eine Bowl Panyun ist. Bestimmt l*****. ChatGPT meint dazu:

Skype R.I.P Mai 2025

Nachdem man in Teams nun parallel zum Geschäftskonto (z. B. aus dem Microsoft 365 Abonnement) ein Microsoft-Konto einrichten kann (dafür öffnet sich eine getrennt konfigurierbare Teams-Umgebung auf dem gleichen Rechner), hat Microsoft entschieden, Skype ab dem 06. Mai 2025 einzustellen. #Endoflife – es wird dann nicht mehr funktionieren. Das gilt auch für Skype im Webbrowser.

Wer Skype derzeit noch nutzt, kann jederzeit – auch ohne Microsoft-Konto auf Teams (free) umstellen. Die Skype Kontakte (sofern Zugriff erlaubt wird) erscheinen dann in Teams. Das "Telefongespräche führen mit Skype Guthaben" Feature ist in Teams nicht verfügbar, es sei denn, man mietet "Teams Telefonie" zusätzlich zu einem Plan, der das gezahlte Teams enthält, zum SIP_Trunk dazu. Ebenso wird in der kostenlosen Version von Teams ein (Video-) Telefonat nach 60 Minuten abgebrochen und man muss neu verbinden.

[time_until date="06.05.2025"]

Mehr Details auf der Microsoft Skype Seite.

TBD: Skype für Desktop und die Skype Windows app (meist sind beide installiert) über die App-Liste von Windows deinstallieren. Zusätzlich den Ordner „%appdata%\Roaming\Microsoft\Skype for Desktop“ löschen.
Auf android und IOS Mobilgeräten ebenfalls die Skype app deinstallieren.

HP Color Laserjet Pro kritische Lücken

Mit einem CVS-Score 9.2 von 10 sind einige Modelle der HP Color Laserjet Pro Serie von #Sicherheitslücken betroffen, die Codeschmuggel ermöglicht. Es existiert eine aktuelle Firmware, die diese Lücken schließt.

Da viele der Drucker potentiell mit dem Internet verbunden sind, um Updates herunterzuladen, sind Geräte, die diese herunterladen und automatisch installieren also nicht mehr gefährdet. Wer vermeiden möchte, dass der Drucker nach einem Firmware-Update streikt (bei HP schon mal passiert), sorge bitte händisch dafür, dass die aktuelle Firmware installiert wird.

#Wichtig - Ob Sie Geräte einsetzen, die betroffen sind, erfahren Sie auf dieser HP-Security Seite.

mRemote NG weiterhin nur Beta

Kurz notiert: Es tut sich wieder was im mRemote NG Projekt, allerdings nichts Positives. mRemote ist eine Oberfläche, von der man VNC, SSH und RDP-Verbindungen aufrufen kann.

Bei mRemote NG gibt es jetzt wieder Beta-Versionen, die zwar kein veraltetes CEF enthalten, sondern erfordern, dass man die Webview2 Runtime zusätzlich installiert. Außerdem wird verlangt, dass man die .net Desktop Runtime installiert, die ebenfalls Dienste und Ressourcen im Hintergrund verbraucht, auch wenn die Programme, die sie benötigen, nicht laufen. Die letzte Release-Version ist von 2019. Man bezeichnet solche Projekte dann als #endoflife

Für RDP-Verbindungen ist der Remote Desktop Connection Manager von Microsoft sicherer und kompakter und zeigt Voransichten an - ist damit das empfohlene Werkzeug. Für das zentrale Verwalten von Rechnern und IGEL per VNC lassen sich .VNC Testdateien erstellen und in einem Ordner sammeln, um Geräte mit einem Mausklick fernzusteuern.

Fazit: Eine Werkzeug Software sollte nicht hunderte von MB anderer Software und Frameworks/Dienste im Hintergrund benötigen, um zu laufen. Daher bleibt mRemoteNG als nicht empfohlen markiert.

Wie gut ist Ihr gevis | ERP Wissen?

Testen Sie Ihr Wissen und machen Sie die gevis-Prüfung. Wenn Sie bestehen, erhalten Sie das Prüfungsergebnis als Zertifikat.

[linkbutton link="https://tech-nachrichten.de/question/quizfrage-5460/?ende=2" label="gevis ERP Wissen jetzt kostenlos und unverbindlich testen"]

Windows 11 24H2 Installationsquellen fehlerhaft

Bis Oktober 2025 müssen Sie alle Windows 10 Systeme auf Windows 11 umstellen. In den meisten Fällen funktioniert das für #Win11 über ein #Inplace #Upgrade.

Die benötigten Installationsdatenträger (ISO für USB-Stick oder zum Kopieren/Entpacken und Setup inplace ausführen auf dem Zielsystem) können Sie über das Media Creation Toolkit bei Microsoft herunterladen.

Wenn Sie diesen Datenträger (mit integrierten Updates von Oktober 2024 oder November 2024) heruntergeladen haben und damit ein Inplace Upgrade ausführen, funktionieren danach keine Windows Updates mehr auf den Zielsystemen.

Microsoft hat den Fehler identifiziert und die Datenträger mit integrierten Updates ab Dezember 2024 sind ohne diesen Fehler.

Wenn Sie bereits Systeme mit den fehlerhaften Datenträgern installiert haben, müssen Sie leider das Inplace-Upgrade auf diesen Systemen mit einem Datenträger mit Updates von Dezember 2024 oder neuer (Januar 2025) wiederholen. Das Inplace-Upgrade dauert etwa eine Stunde, währenddessen der Rechner nicht genutzt werden kann + Finetuning/Nacharbeit etwa 5 Minuten meist.

Sharepoint Online Platzberechnung

Häufiger kommt die Frage auf, wie sich der angezeigte Speicherplatz auf dem Sharepoint zusammensetzt. Microsoft hat dazu eine recht komplizierte Formel, die wir versuchen, möglichst gut verdaubar zusammenzufassen.

• Mit jedem Microsoft Tenant steht grundsätzlich nach Anlegen 1 TB Speicherplatz auf dem Sharepoint zur Verfügung.
• Dazu kommen + 10 GB pro erworbene Microsoft 365 Business Premium Lizenz (oder auch M365 E3, bei On-Premises Umgebungen auch Business Standard Pläne.
• Der Haken dabei: Onedrive für Business und Sharepoint teilen sich einen Speicherpool, d.h. egal ob mit den Onedrives oder der Sharepoint Platz ausgenutzt wird, ist der Platz dann erschöpft. Reduziert man den User-Onedrive jeweils auf 500 GB, passiert das langsamer.
• werden mehr als der errechnete 1 TB + 10 GB / User auf dem Sharepoint benötigt, muss pro GB (Gigabyte, nicht Terabyte) "Office365 Extra File Service" dazu gebucht werden. also 600 Einheiten für 600 GB zusätzlich an monatlichen Kosten.

Rechenbeispiel:
100 User mit Busines Premium Plänen: Sharepoint hat 1 TB + 100x 10 GB = 2 TB
Der Sharepoint ist mit 500 GB gefüllt. noch leer Nun nutzt ein User sein Onedrive Terabyte voll aus. Auf dem Sharepoint stehen somit nur noch 500 GB zur Verfügung.

Damit der Sharepoint nicht so schnell volläuft, kann man den One-Drive Storage der User künstlich limitieren - z. B. auf 500 GB.

Bei großen Datenmengen auf dem Fileserver ist es daher aus Kostengründen meist günstiger und daher empfehlenswert, stattdessen auf dem DC2 (Fileserver in Azure) einen Storage-Account mit Standard-HDD Geschwindigkeit in passender Größe zu buchen.
Vorteile Fileserver: Sie können einfach über Gruppenrichtlinien einen Laufwerksbuchstaben zuweisen, die Berechtigungssteuerung erfolgt wie gewohnt über Filesystem Berechtigungen, die Files sind in der täglichen Azure Datensicherung des Servers enthalten.
Nachteile Fileserver: Sie können nicht mit mehreren Leuten gemeinsam an einer Word/Exceldatei arbeiten, Die Dateien können nicht als Teams-Freigabe mit Externen geteilt werden.
Nachteile bei Ablage auf dem Sharepoint: Dateien haben nur einen 30 Tage Papierkorb. Sie benötigen Skykick oder einen anderen Onlinedienste, um eine Datensicherung zu erhalten.

Fazit:

In den meisten Fällen ist es günstiger, einen Storage Account "Standard HDD" am Azure Fileserver für die Dateiablage zu benutzen und nur für Teams und gezielte gemeinsame Arbeit an Dateien oder für sichere Dateifreigaben und Kollaboration mit Externen zu nutzen. Meist reicht der dafür kalkulierte Sharepoint Platz auch aus.

HP Universal-Druckertreiber kritisch

viele von Ihnen verwenden Drucker von #HP und damit auch den Universal #Druckertreiber (meist PCL6, 64 Bit). In der Softwareliste taucht dieser als „64 Bit HP CIO Components Installer“ auf.

#Wichtig – bereits am 18. November 2024 veröffentlichte HP eine aktualisierte Version des Treibers, erst am 29. Januar 2025 wurde der Artikel dazu publik gemacht.

Konkret weisen alle älteren Versionen als v7.3.0.25919 eine im CVS mit 9.8 bewertete kritische #Sicherheitslücke auf, die es Angreifern ermöglicht, Programmcode über Systeme, wo der Treiber installiert ist, zu installieren und auszuführen. Details hier.

Bringen Sie – falls noch nicht geschehen – bitte Ihren Universal-Druckertreiber von HP, sofern im Einsatz, auf den aktuellen Stand.

[linkbutton link="https://support.hp.com/de-de/drivers/hp-universal-print-driver-series-for-windows/model/3271558" label="HP Universaldruckertreiber Downloadseite"]

Patchday Lücke mit 9.8 und BSI-Warnung

#Wichtig - beim #Microsoft Januar 2025 #Patchday wurde eine besonders kritische Sicherheitslücke, CVE-2025-21298, geschlossen, die alle Windows und Windows Server-Versionen betrifft (damit auch Windows Server 2012 R2, der seit Oktober 2023 nur noch Sicherheitsupdates im ESU-Plan bekommt. Die Lücke ist so kritisch, dass selbst das Bundesamt eine Warnung veröffentlicht hat.

Windows OLE Sicherheitslücke:

Schweregrad: Kritisch (CVEv3 Score 9.8)

Eine gefährliche Schwachstelle wurde in Windows OLE entdeckt. Hacker können diese Lücke ausnutzen, indem sie eine speziell gestaltete E-Mail an ein Ziel senden. Sobald diese E-Mail mit einer anfälligen Version von Microsoft Outlook geöffnet oder in der Vorschau angezeigt wird, kann der Angreifer den Code auf dem Zielsystem ausführen.

Empfehlung: Um sich zu schützen, sollten Sie Microsoft Outlook so konfigurieren, dass E-Mails nur im reinen Textformat gelesen werden.

Da die Lücke bereits aktiv ausgenutzt wird, installieren Sie bitte möglichst schnell die Januar-Patches oder/und konfigurieren alle Outlook-Versionen auf "Nur-Text-Lesen". Dies kann in den Outlook-Einstellungen oder bei verwalteten Geräten als Gruppenrichtlinie in Intune verteilt werden.

Übrigens: Auch das Versenden von E-Mails im "Nur-Text-Format" macht prinzipiell den E-Mail-Verkehr sicherer. (ist man selbst infiziert, wird man nicht zur Schadcode-Schleuder). Da die meisten Unternehmen aber Logos und formatierte Texte in E-Mails verwenden, ist das Nur-Text-Versenden keine Alternative mehr. Stellt der Empfänger den Maileingang auf "Nur-Text", werden die grafischen Formatierungen dort nicht dargestellt, die Sicherheit wird aber erhöht.