Wer in seinem AD eine PKI ausgerollt hat, kann getrost mit dem Lesen abbrechen und weitergehen. Es gibt nichts zu sehen. Mein Bauchgefühl und die Erfahrung sagen mir jedoch, viele im Mittelstand haben keine und sind dem Python Skript von Alex Neff1 ausgeliefert. Wsuks2 setzt sich als Man-in-the-Middle zwischen einem Windows Update Server (WSUS) und den verschiedenen Server/Clients eines AD. Es spoofed in der ARP Tabelle die IP des WSUS. Bei Kontaktaufnahme (Default: Alle 24 Stunden) wird eine psexec64.exe zusammen mit einem Powershell auf die Rechner verteilt und ausgeführt, inklusive Elevation zum Administrator. Die Payload kann beliebig angepasst werden. Read more

Eine Kindheitserinnerung geht mir beim aktuellen Hacking durch den Kopf. Als 12, vielleicht 13-jähriger Jaust wurde ich einst mit auf eine Industriemesse genommen. Meine Faszination galt den vielen grünen und bernsteinfarbenen PC-Bildschirmen, wo die ersten IT-Lösungen, Warenwirtschaften, CAD und DTP-Anwendungen gezeigt wurden. Eine mir noch unbekannte Welt. Damals zockte ich noch mit Freunden auf den typischen Commodore und Atari Home-Computern. Einzig die Macht von Strg+Alt+Entf und das aus heutiger Sicht schräge Konzept, im BIOS die Anzahl der Schreib-/Leseköpfe, Zylinder und Sektoren einer Festplatte zu hinterlegen war mir bekannt. Ohne blieben die unerschwinglich teuren 10 oder 20 MB Festplatten stumm. Und so war es eine Herausforderung, Spiel und Abenteuer zugleich, unbemerkt die “richtigen” Tasten zu drücken und einen vermeintlich kaputten Rechner zurück zu lassen. Read more

Immer wenn ich im offiziellen Auftrag Windows-Systeme hacken darf, steht ein Ordner ganz oben auf meiner “zu untersuchen” Liste. Praktisch überall, wo Remote-Desktop oder Remote-Apps zum Einsatz kommen, wird die Brisanz von angesammelten Cache-Daten auf den verbindenden Clients unterschätzt. Im Profil eines Benutzers unter %APPDATALOCAL%\Microsoft\Terminal Server Client\Cache bzw. C:\Users(Benutzername)\AppData\Local\Microsoft\Terminal Server Client\Cache finden sich die begehrten Überbleibsel einer RDP-Sitzung. Die von einem Terminalserver übermittelten Bildschirminhalte sind hier in Gestalt von .bmc und .bin Dateien zu finden. Die Dateien sind durchnummeriert und repräsentieren Farbtiefen und Indexpositionen, die uns nicht weiter zu interessieren brauchen. Wichtiger ist das in Python geschriebene bmc-tools1, welches jedem mit Zugriff auf diese Daten Einblick auf den Bildschirm eines Anwenders gewährt, meist rückwirkend auf längst vergangene RDP-Sitzungen. Read more

Zeit zum Feststellen unbequemer Wahrheiten. Im Grunde nichts Neues und alles Wiederholung dessen, was ich hier im Blog von mir gebe. Diesmal aber mit Unterstützung und Datenbasis des aktuellen Verizon1 Data Breach Investigation Reports (DBIR)2, den ich mir gestern Abend bei einem Glas Wein angetan habe. Bitte schnallen Sie sich an, es wird ein wilder Ritt durch aktuelle Zahlen und Ursachen, ergänzt durch meine Einlassungen und Praxisbeispiele. 82% aller Ransomware-Vorfälle basieren auf Social Engineering3. Erst mit Kenntnis von Personen und tagesaktuellen Vorgängen werden Menschen dazu gebracht, auf schadhafte E-Mails zu klicken. Das meine Damen und Herren sind die Nebeneffekte von jedem Engagement in den sogenannten sozialen Medien. Zugleich wird diese Entwicklung auch mit miserablen Kommunikations-Tools befeuert, die angereichert mit “social” Elementen und Inner-Platform-Funktionen4 jedem freudig Auskunft geben, an welchen Projekten Ihre Mitarbeiter arbeiten oder wann, mit wem und wo sie im Urlaub sind. Read more

Am Wochenende die Sicherheit erhöht und Prozesse automatisiert - Das ist lame! Das kann alles oder nichts sein, zu wage und unspezifisch. Technisch korrekt mit einem Hauch von Zynismus wäre auch: “Ich habe Bash-Scripte in YAML übersetzt.” Okay, einigen wir uns auf: Ich habe etliche Bash-Scripte zum automatischen Erneuern von Zertifikaten konsolidiert, Komplexität reduziert, potentielle Sicherheitsrisiken im Transfer von Certs von außenliegenden Reverse-Proxies auf innenliegende Hosts beseitigt und den ganzen Prozess insgesamt transparenter und sicherer mit Ansible und Git gemacht. Read more

Zum Wochenende eine Quizfrage: Hinter welcher der nachfolgenden Domains steckt höchstwahrscheinlich ein boshafter Hacker? Genau Hinschauen! ԁeutsche-telekom.de sparkasse-ԁarmstadt.de cloud.sessionID.cf.373.tw/323.fra.commerzbank.de Ganz einfach werden einige meinen. Andere behaupten auch, niemals auf Phishing-Mails oder komische Chat-Anfragen reinzufallen. Ein Öffnen unbekannter Dateianlagen? Das passiert immer den anderen! Wer so einen solchen Menschen in seinem Umfeld hat, der oder die darf diesem dieses Quiz weitergeben. Auflösung Auch wenn die beiden erstgenannten Domains vertraut vorkommen, so führen diese mitnichten hin, wo erwartet. Das “d” in deutsche-telekom und sparkasse-darmstadt ist ein kyrillisches “d”. In den meisten Fonts optisch kaum unterscheidbar zu unserem “d”, technisch aber ein völlig anderer Buchstabe. Ein Blick in den Quellcode offenbart den Unterschied: Read more

Jeden Tag wird mindestens ein Windows-AD in Unternehmen “ausgeknipst”. Das war bislang mein Spruch. Ich muß mich korrigieren. Es muss heissen: Jeden Tag werden mindestens drei Windows-AD in Unternehmen “ausgeknipst”. Das wird dokumentiert mit einer schönen Liste1 von 2.155 “geplatzten” Windows-Netzwerken aus den vergangenen beiden Jahren. Der erste Datensatz beginnt im Mai 2019, der Letzte ist datiert auf vorgestern, den 10.05.2021. Diese Liste zirkuliert aktuell in einschlägigen VX-Foren. Aus Deutschland mit dabei sind große Marken wie z.B. SIEMENS, INTERSPORT, EINHELL, IRLE DEUZ, TRACTO-TECHNIK, zahlreiche KMU, Universitäten und auch einige Anwalts- und Steuerkanzleien. Der letzte Datensatz stammt von einer Glausbau-Firma aus Augsburg und datiert vom 04.05.2021. Die Website ist erwartungsgemäß zwar in Suchmaschinen bestens indiziert, aktuell jedoch nicht aufrufbar. Read more

Gestern und heute ist mir der Autor malvuln1 aufgefallen. Für 14 Malwares und Backdoor-Anwendungen hat er Schwachstellen aufgedeckt. Ja richtig gelesen: Er hat Schwachstellen in Malware- und Backdoors gefunden, praktischerweise mit Proof-of-Concepts zum Nachvollziehen. Ich muss nicht besonders hervorheben, dass es in allen Fällen um Windows-Malware handelt. Ob er vor seinem Full Disclosure Kontakt mit den jeweiligen Vendors der betroffenen “Software” aufgenommen hat ist nicht dokumentiert. Ebenfalls fehlen CVE2 Reference Number und CVSS3 Scores. Aber mit einem Schmunzeln blicken wir über diese Details hinweg. Read more

Im letzten Webinar zu IT-Risikoermittlung und Informationssicherheit kam bei den Teilnehmern nach der etwa 15-minütigen Live-Hacking-Session die Frage auf: Ist das nicht verboten? Wir haben Einblick in die Server einer ambulanten Pflegestation und zwei Unternehmen genommen. Gefunden habe ich diese zufällig aus einer Menge von 28 Mio Hosts1 aus Deutschland anhand spezifischer Suchbegriffe. Die Suche hat nur wenige Sekunden benötigt und kurz darauf bewegten wir uns durch die zahlreichen Verzeichnisse mit Patientendaten und ärztlichen Rezepten. Read more

Felix von Leitner (Fefe) hat in seinem jüngsten Beitrag1 auf Heise einen sehr guten Satz gesagt, der mir direkt aus der tiefsten Seele spricht: Programmieren ist in der Praxis eher ein Optimierungsproblem (was ist der geringste Aufwand, den ich treiben muss, damit der Kunde mir das abnimmt) als eine konstruktive Ingenieurskunst. Schlimmer noch: Wenn man einen Programmierer findet, der alles ordentlich machen will, dann ist der im Markt nicht konkurrenzfähig gegen die ganzen Abkürzungen der Pfuscher der Konkurrenz. Read more