lordgurke
Goto Top

Abuse-Report von Microsoft, wegen "KMS machine"

Moin,

wir als Provider haben eine Abuse-Meldung von Microsoft bekommen, bei der wir ein wenig ratlos sind, was das konkrete Problem ist.
Der Wortlaut des Reports ist (grob zusammengedampft):

Dear Sir or Madam,

We are contacting you concerning the domain/IP address/port listed above which appears to be on servers under your control.

The (IP) address is engaged in unauthorized activities relating to copyrighted works published by Microsoft Corporation. It is making it possible for third parties to activate unauthorized and infringing copies of Microsoft software. The IP address at which a KMS machine may be accessed is as follows:

a.b.c.d:1688

Please contact me at your earliest opportunity through one of the means listed below to confirm that appropriate action has been taken to secure the KMS machine. We appreciate your cooperation in this matter. Please advise us regarding what actions you take.

Yours sincerely,
(yournamehere)
Internet Investigator

Da wir vom Kunden da jetzt nichts zu gehört haben, fragen wir uns, ob das etwas ist, wo wir aktiv werden sollten.
Wenn ich das richtig verstehe ist das Problem von Microsoft, dass da jemand einen Key Management Server (?) betreibt, der auf Anfragen aus dem Internet antwortet und damit jedem ermöglicht, seine Windows-Installation dagegen zu aktivieren? Wäre dann nicht einfach irgendwann der Lizenzvorrat den Kunden erschöpft?
Wir sind hier quasi Microsoft-Frei und haben keine Ahnung, was man mit einem KMS anstellen kann und wie groß das Sicherheitsproblem ist, wenn es aus dem Internet erreichbar ist.

Da ich ungerne IP-Adressen oder Ports sperre, nur weil irgendein Unternehmen behauptet, da wäre was, würde ich da gerne mal eine Zweitmeinung von Profis einholen face-wink


Danke!


P.S.: Weiß jemand, ob "Internet Investigator" ein Ausbildungsberuf der IHK ist? face-big-smile

Content-ID: 876035676

Url: https://administrator.de/contentid/876035676

Printed on: October 5, 2024 at 04:10 o'clock

shadynet
Solution shadynet Jul 01, 2021 at 18:15:48 (UTC)
Goto Top
Hi,

ja, soll vorkommen, dass MS das Internet nach frei zugänglichen KMS durchsucht. Habe das nun schon 2x mitbekommen. Kann natürlich sein, dass sich jemand einen Spaß erlaubt und einen KMS-Emulator betreibt, der offen im Netz steht auf einem dieser Server. Aber auch, dass der dummerweise mit dem "nackten Arsch" im Internet steht.
Ja, prüfen sollte man es, warum auf Port 1688 irgendwas KMSiges reagiert. Und ja, eigentlich sollte irgendwann der Lizenzvorrat leer sein, so mein Verständnis vom KMS.

VG
Xerebus
Solution Xerebus Jul 01, 2021 at 18:46:52 (UTC)
Goto Top
Es gibt aber auch KMS die einfach alles absegnen. Der wird nicht "leer"
LordGurke
LordGurke Jul 01, 2021 at 21:00:52 (UTC)
Goto Top
Alles klar, danke!
Ich mache dann mal den Port zu — hauptsächlich, um auch den Kunden zu schützen, damit ihm seine Lizenzen nicht alle weg-aktiviert werden.
Th0mKa
Th0mKa Jul 02, 2021 at 07:32:19 (UTC)
Goto Top
Zitat von @LordGurke:
Ich mache dann mal den Port zu — hauptsächlich, um auch den Kunden zu schützen, damit ihm seine Lizenzen nicht alle weg-aktiviert werden.

Du solltest aber trotzdem mit dem Kunden sprechen, vielleicht war das ja auch (zu kurz gedachte) Absicht damit sich die PC der Vertriebler aus dem Internet aktivieren können.

/Thomas