Ein Zwei Bilder sagen mehr, als tausend Worte: Unglaublich wie die CDU einen vergammelten End-Of-Life Exchange 2010 Server künstlich mit einer Lage Schlangenöl als WAF am Leben erhält. Wir reden hier nicht von einem AD eines Wald-Wiesen-Windows Admins sondern vom AD einer Regierungspartei! In der Fliegerei gibt es ein Sprichwort: Die Luft reinigt sich von selbst. Weiterlesen

Es ist wieder soweit, das BSI gibt eine “Sicherheitsdurchsage”1 für alle Microsoft Exchange-Server Betreiber. Gleich mehrere Lücken (CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207) im Technologie-Stack von Microsoft führen zur Übernahme des Servers und in Folge des kompletten AD-Firmennetzwerks. Wie zuletzt im Frühjahr bei HAFNIUM2 werden wieder Regelsätze zum Auffinden bereits kompromittierter Systeme verteilt3. Weiterlesen

Einigen ist es bereits aufgefallen: Es gab bisher noch keine Ankündigung oder Thema für den Mittwoch-Live Abend. Aktuell herrscht bei mir “Land unter” und ich bin ganztätgig vor Ort bei Kunden. Das ist gut und wichtig vor dem Hintergrund, was auf uns im Herbst wieder zurollt. Weiterlesen

Von Stephan (vielen Dank!) erhielt ich heute morgen die Mail, dass über NTLM es auch an anderen Stellen zur Rechteausweitung kommt. Dokumentiert wird das zu DCOM von den SentinelLABS1, die zugleich auch einen schönen POC mit dem Namen “RemotePotato0” veröffentlicht haben. Im Detail wird über das Weiterleiten von NTLM-Anfragen eine Privilege Escalation eines angemeldeten Benutzers bewirkt. Weiterlesen