Friday, September 17, 2010

Kwetsbaarheid reden om te upgraden naar Exchange 2010?

Als je het aan beheerders of ICT managers vraagt, dan weet iedereen wel dat nieuwere software doorgaans veiliger is dan oude software. Maar wat betekent dat nu concreet? Een mooi praktijkvoorbeeld is een probleem wat vorig jaar ontdekt werd in Outlook Web Access van Exchange 2003 en Exchange 2007. Een security specialist ontdekte dat wanneer een OWA gebruiker op een bepaalde link klikt, een externe de OWA sessie van gebruiker over kan nemen. Hoe werkt dat? Simpel gezegd als volg:

  • Maak een webpagina en plaats daar een link op
  • Zet in de link een opdracht die bijvoorbeeld een auto-forward rule in OWA instelt
  • Haal een OWA gebruiker over om op de link te klikken

Omdat OWA niet controleert waar de opdracht vandaan komt zal hij keurig een berichtregel aanmaken die alle inkomende mail naar een mailbox van de hacker doorstuurt. Deze ‘hack’ is zeer eenvoudig uit te voeren en heeft in potentie grote impact.

De fout werd aan Microsoft gemeld in september 2009, dat was nog net op tijd om een oplossing in te bouwen in Exchange 2010 waardoor deze niet meer kwetsbaar is voor deze hack. En deze oplossing is ook terecht gekomen in Exchange 2007 SP3 welke daarna werd uitgebracht. Maar Exchange 2003 en Exchange 2007 SP1 en SP2 zijn dus nog steeds kwetsbaar.

En nu? Mogelijke workarounds zijn beperkt en komen er op neer dat je berichtregels via OWA of het hele OWA Opties-paneel uitschakelt. Hiermee kan een hacker de instellingen niet meer veranderen maat het zelfde geldt voor de gebruiker zelf. De enige echte oplossing, zonder negatieve impact voor de gebruiker, is upgraden naar Exchange 2007 SP3 of Exchange 2010. Voor organisaties met Exchange 2003 kan dit wel eens een sterk argument zijn om vaart te maken met een upgrade naar Exchange 2010.

Wie meer wil lezen over dit issue kan een blik werpen op Microsoft Security Advisory 2401593.

Wednesday, September 15, 2010

Outlook 2007 en toegang tot het Exchange 2010 Personal Archive

Het Personal Archive is één van de killer features van Exchange 2010. Tenminste, dat was de eerste indruk die we allemaal kregen toen Exchange 2010 aangekondigd werd. Maar in de aanloop naar Exchange 2010 bleek al snel dat hier een addertje onder het gras zat, je kunt het Personal Archive alleen benaderen met Outlook 2010 of met Outlook Web App. En dat is jammer, want de realiteit is dat veel bedrijven minimaal één maar vaak zelfs meerdere generaties van Office achterlopen. Daar kunnen allerlei redenen voor zijn, maar een aantal argumenten zie ik steeds terug komen.

  • Kosten

Een Office suite kost geld en als je geen doorlopende contractvorm (bijvoorbeeld Software Assurance) hebt dan mag je de portemonnee trekken om licenties voor de nieuwe versie aan te schaffen. En als het dan om enkele duizenden gebruikers gaat dan praten we al snel over een forse investering. Het getuigt misschien niet van goed plannen en vooruit denken, maar vaak zie ik dat men deze investering nog liever een jaartje vooruit wil schuiven.

  • Afhankelijkheden

Net als een ongeluk, komt Office zelden alleen. Om echt het onderste uit de kan te halen worden templates gemaakt die bijvoorbeeld standaardbrieven genereren of een bepaalde huisstijl afdwingen. En dan hebben we nog allerlei plug-ins, bijvoorbeeld voor de koppeling met een ERP systeem of toegang tot een archiveringsoplossing. Al deze templates, macro’s en 3rd party add-ons moeten stuk voor stuk getest worden op compatibiliteit met de nieuwe versie van Office. Niet zelfden steekt de leverancier van deze plug-in een stokje voor de upgrade door de nieuwe versie niet te kunnen of willen ondersteunen.

  • Verandering

De wereld verandert en de Office suite ook. De ontwikkelaars staan niet stil en elke versie brengt nieuw slimme functionaliteit of juist een aangepaste interface om een beetje overzicht terug te brengen in al die mogelijkheden. Bij bedrijven zie ik vaak een sterke weerstand tegen verandering, vooral als het om de interface gaat dan vreest men voor massaal vastlopende gebruikers. Deels is die vrees wel terecht, niet iedereen omarmt de nieuwe versie en gaat enthousiast op zoek naar vernieuwingen. Maar juist daar kan een stukje training veel goeds doen, bereid mensen voor op de nieuwe versie en zorg dat ze ook op de bewuste maandag in ieder geval hun dagelijkse werkzaamheden uit kunnen voeren. Mijn persoonlijke ervaring is dat het gros van de gebruikers, ook degenen die eerst hun hakken in het zand hadden gezet, al na een paar dagen niet meer beter weten en zelfs niet meer terug willen naar de oude versie.

En met Exchange?

Ook in de wereld van Exchange komt met iedere generatie nieuwe functionaliteit mee, en voor een deel van die nieuwe functionaliteit heb je een recente versie van Outlook nodig. En zo komen we weer terug op het Personal Archive, waar we alleen gebruik van kunnen maken met Outlook 2010 of OWA. Microsoft ontdekte zelf al vrij snel dat bedrijven relatief makkelijk overstappen naar Exchange 2010 maar dat het veel lastiger is om ook op Office 2010 te komen. Een groot aantal klanten plant een upgrade naar Office 2007 maar zien geen kans om direct naar Office 2010 te gaan, of werkt voorlopig nog gewoon verder met Office XP (2002), 2000 of zelfs 97.

Goed nieuws dus dat Microsoft in April 2010 (Exchange 2010 was toen al 5 maanden uit) aankondigde dat met de komst van SP1 voor Exchange 2010 ook een update voor Outlook 2007 verwacht werd waarmee je het Personal Archive kunt benaderen. Dikke pech voor klanten met Outlook 2003 maar in ieder geval een mooi vooruitzicht voor klanten die al wel op Office 2007 zaten. Ook voor een aantal van mijn klanten woog deze aankondiging mee om toch alvast te starten met de upgrade naar Exchange 2010, want een traject voor Office 2007 was ook al in gang gezet.

Inmiddels is het eerste service pack voor Exchange 2010 uitgebracht maar blijft het stil rond Outlook 2007 en het Personal Archive. Microsoft heeft inmiddels aangekondigd dat de Personal Archive update voor Outlook 2007 ‘in de eerste helft van 2011’ uit gaat komen. Let wel, dat is dus anderhalf jaar nadat Exchange 2010 gelanceerd werd! Al met al lijkt de geschiedenis zich te herhalen, ik moet denken aan de Exchange 2007 backup plugin voor Server 2008 maar ook aan de aangekondigde Exchange 2007 support voor Server 2008 R2, waarbij klanten alleen nog even hoefden te wachten op het volgende service pack…

Graag zou ik de beslissers bij Microsoft willen uitnodigen om eens een jaartje in het veld te komen werken. Kom maar eens praten over het Nieuwe Werken en verhoogde productiviteit bij de gemeente, het productiebedrijf of de zorginstelling waar ik mag komen praten over Exchange. En hopelijk worden dan wat meer mensen ingezet op het bedienen van bestaande klanten, bedrijven die een paar jaar geleden hebben geïnvesteerd in nieuwe techniek. In plaats van wat nu steeds lijkt te gebeuren: 99% van Microsoft werkt aan vNext terwijl slechts 1% zich bezig houdt met vVorig of vOud.

Dus, bedrijven met Outlook 2007 en Exchange 2010: nog even geduld tot volgend jaar. Of toch maar upgraden naar Office 2010 misschien…?

Thursday, September 9, 2010

Android ‘Froyo’ heeft problemen met Exchange 2010 SP1

Verschillende Exchange-beheerders melden de afgelopen dagen problemen met het synchroniseren van bepaalde mobiele toestellen. Het gaat dan specifiek om Android telefoons welke draaien op versie 2.2 en wel buildnummer FRG22D. Bij deze toestellen lukt het niet meer om te synchroniseren met de mailbox wanneer Exchange 2010 SP1 gebruikt wordt.

Inmiddels is het probleem bekend bij Microsoft en bij de telefoonleveranciers maar een oplossing is nog niet voor handen. Wanneer je denk dat dit issue ook jouw gebruikers kan treffen dan heb je de volgende mogelijkheden:

  • Stel de upgrade van Exchange 2010 naar Exchange 2010 SP1 nog even uit.
  • Let op voor de Android update met buildnummer FRG22D, het gaat om deze download maar providers kunnen hem ook over-the-air naar je device sturen.

Wanneer je al wel getroffen bent door dit probleem, dan kun je als laatste work-around nog eens kijken naar TouchDown van NitroDesk. Van deze Exchange client kun je een probeerversie downloaden die 30 dagen te gebruiken is.

Wanneer er meer nieuws is dan lees je het hier.