Jan 24
2009 PowerPoint Exploit Resurfaces in Active Attacks
A long-forgotten PowerPoint code execution bug has re-entered active exploitation lists, putting legacy Office users back at risk.
Source: LevelBlue
Read more: CyberSecBrief
seen from United Kingdom
seen from Russia
seen from Germany
seen from Malaysia
seen from Netherlands
seen from Poland
seen from Canada
seen from Poland
seen from United States
seen from China
seen from United Kingdom
seen from Singapore
seen from United States
seen from China
seen from United States
seen from United Kingdom
seen from Mexico
seen from United States
seen from United States
seen from China
2009 PowerPoint Exploit Resurfaces in Active Attacks
A long-forgotten PowerPoint code execution bug has re-entered active exploitation lists, putting legacy Office users back at risk.
Source: LevelBlue
Read more: CyberSecBrief
Legacy software: update or rewrite?
A friend asked about an old project that his company is considering replacing. It would take about two years to rewrite it in full, he said. But it’s 10 years old, and it’s hard to make meaningful updates to it. How would you recommend approaching this situation?
If the project is built on top of a good platform where the updates are usually backwards-compatible, then I'd suggest the following.
Start with automating end-to-end acceptance tests. There are tools like cypress.io that make this relatively easy. Those tests should be runnable on production, staging, and development environments. If the system requirements are known, then building this test suite shouldn't take too long.
Additionally, we should set up a reliable development environment. You may wish to use solutions like docker-compose to enable developers to run the project locally. Combine this with a continuous integration pipeline that automates the process of running tests and deploying to your environments. Let the tests developed in the first step run against production whenever you deploy a change.
With the two steps above, I'd start injecting error detection and performance monitoring tools, such as Sentry.io or New Relic. I want to know the existing issues with the system before making changes. I also want to know whenever I introduce a new issue.
With a comprehensive set of acceptance tests, I would start updating the system platform and dependencies, step by step. Start by updating each of your dependencies to the latest patch versions (e.g. update Ruby 2.2.0 to 2.2.10). Move one patch version in every commit and let your CI run your tests against all commits. Do this to your platforms, libraries, operating system packages, etc. Then follow the same approach with minor versions.
With a detailed review of release notes and changelogs, you should be able to follow the same approach to update major versions of your dependencies and platforms. You may have to make more changes while doing this, but your test suite should tell you if you break anything.
With up-to-date platforms and dependencies, it's now easier to update the system. Some components can be rewritten in place, while others can be extracted out of the system. Either way, you have a usable system all the time. You can still fix bugs and introduce features without having to wait months for a full rewrite.
Legacy-Software: Die Berliner Polizei ist nicht allein
Die Berliner Polizei hat offensichtlich massiv mit veralteter Software zu kämpfen. Eine Anwendung, die in der Kräfte- und Einsatzplanung zum Einsatz kommt und deshalb besonders kritisch ist, stürzt immer wieder ab. Das große Problem dabei: Die Software ist die Eigenentwicklung eines Kollegen, der längst seinen Ruhestand genießt. Die Kollegin, die sich in das Programm einarbeiten und es aktualisieren sollte, fällt offenbar wegen Krankheit seit Monaten aus. Die Berliner Polizei ist bei weitem nicht die einzige, der veraltete Software das Leben schwer macht. Statt einer kompletten Neuentwicklung könnten aber oft gezielte Einzelmaßnahmen helfen. Für den IT-Dienstleister Avision in Oberhaching bei München, der auf die Modernisierung von Legacy-Anwendungen spezialisiert ist, ist diese Geschichte alles andere als außergewöhnlich. »Der aktuelle Fall bei der Berliner Polizei ist geradezu typisch. In vielen Behörden, aber auch zahlreichen Unternehmen findet sich Software, die von eigenen Mitarbeitern entwickelt wurde«, sagt Nadine Riederer, CEO bei Avision. Verlassen diese Mitarbeiter das Unternehmen, geht auch das Know-how über diese Entwicklungen mit. »In solch einem Fall weiß dann niemand mehr, wie die Software aufgebaut ist und wie sie eigentlich genau funktioniert. Eine Dokumentation, die diese Fragen beantworten könnte, ist in den meisten Fällen nicht vorhanden. Sie wurde aus Nachlässigkeit oder mangels Zeit schlicht und einfach nie erstellt«, so Riederer. Oft werde dann nur der Ausweg gesehen, einen externen Dienstleister mit der Entwicklung einer komplett neuen Software zu beauftragen. Das sei aber gerade bei Behörden nicht immer so einfach, weiß Riederer: »Sofern überhaupt das nötige Budget vorhanden ist, dürfen Aufträge an externe Dienstleister ab einem bestimmten Volumen nur im Rahmen einer öffentlichen Ausschreibung vergeben werden. Und bis die über die Bühne geht, fließt meist viel Wasser die Spree herunter.« Eine komplette Neuentwicklung ist laut Riederer aber ohnehin oft gar nicht nötig. In vielen Fällen ließen sich veraltete Anwendungen stattdessen durch gezielte Maßnahmen vergleichsweise schnell und kostengünstig auf einen aktuellen Stand bringen. »Durch den Austausch der Datenbank, das Einziehen einer Middleware oder indem nur die kritischen Module oder Funktionen weiterentwickelt werden, lässt sich die Performance einer Software schon häufig verbessern und an neue Anforderungen anpassen.« Die Voraussetzung dafür sei aber natürlich, dass die Software erst einmal verstanden werde. Spezielle Tools und Methoden könnten laut der Expertin dabei helfen, relativ zügig nachzuvollziehen, wie eine Anwendung funktioniert und wie die Daten durch sie hindurchfließen. Die gewonnenen Erkenntnisse sollten dann aber nicht nur zur Modernisierung der Software verwendet werden, sondern auch zur Erstellung einer umfassenden Dokumentation. »Das macht die Sache dann beim nächsten Mal erheblich leichter«, betont Riederer. https://ap-verlag.de/5-zentrale-aspekte-bei-der-softwaremodernisierung-von-lagern-und-anlagen/7761/ https://ap-verlag.de/modernisierung-von-enterprise-software-verbessert-geschaeftserfolge-beschleunigt-den-markteintritt-und-steigert-den-umsatz/1148/ https://ap-verlag.de/softwareentwicklung-und-fahrzeugtechnik-sprints-treffen-auf-integrationsstufen/47474/ https://ap-verlag.de/softwaregesteuerte-campus-netzwerke-als-antwort-auf-die-anforderungen-der-digitalisierung/41559/ https://ap-verlag.de/14-prozent-umsatzzuwachs-durch-modernisierung-von-it-systemen/33336/ https://ap-verlag.de/workplace-modernisierung-deutsche-unternehmen-hinken-hinterher/30173/ Read the full article