Während bei Windows 10 durch Entfernen des Netzwerkkabels oder dem Vortäuschen eines anderen Landes1 die “Out of the Box Experience” OOBE ausgetrickst werden konnte, soll mit solchen Hacks jetzt Schluß sein wenn es nach Microsoft geht. Kein Windows 11 ohne Microsoft-Konto und ohne Möglichkeit, es offline zu installieren.2 This change ensures that all users exit setup with internet connectivity and a Microsoft Account. Das ist Marketing-Sprech kurz vor Erbrechen. Wenig verwunderlich und so typisch für Microsoft: Entfernt wird nur das bypassnro.cmd Skript, nicht die vom Skript vorgenommenen Registry-Settings. Read more

Wer ist auf Software- und Services von US Unternehmen angewiesen? Neben den üblichen BigTechs wie Microsoft, Apple, Google oder Amazon sind das für viele auch Autodesk, Adobe, Paypal oder Stripe. Wie klingen 50% Aufpreis auf alle laufenden Abos und Lizenzen? Out of the blue, sofort fällig und unabhängig von bestehenden Laufzeiten und Verträgen? Die EULAs geben das her. Natürlich immer zum Wohl des Kunden. Wem das nicht gefällt, kann ja gehen. Read more

Im Mai habe ich von einem schönen Projekt berichtet, welches eine undokumentierte Windows API zur Installation eines Pseudo-Virenscanners nutzte.1 Auf diese Art und Weise lässt sich der Windows Defender zusammen mit der Firewall sauber, wie von Microsoft vorgesehen, deaktivieren. Wie befürchtet wurde das Projekt mit Verweis auf den DMCA2 letzten Monat entfernt, so dass nur noch die Readme-Texte im Original-Repo3 verblieben sind. Aus Sicht von Microsoft ist die Veröffentlichung dieser undokumentierten aber frei zugänglichen Funktion eine Urheberrechtsverletzung. Möglicherweise steht auch AVAST dahinter, dessen Implementierung als Proxy verwendet wird. Wie auch immer, klassiches Security through Obscurity4 Sicherheitstheater. Read more

Microsoft hat es getan. Der Kill-Switch ist mit KB50415801 bzw. KB50415712 umgelegt und alle anderen Betriebssysteme “ausgeknipst”. Ein PC mit aktiviertem Secure-Boot kann keine anderen Betriebssysteme mehr booten als das von Microsoft. Das schließt auch sämtliche Rettungs- und Image-Sicherungssysteme ein. Damit ist die seit vielen Jahren andauernde Kritik an Secure-Boot3 eingetreten. Zum technischen Hintergrund haben andere die Details bereits sehr gut zusammen getragen.4 Bitte den “Hannoveraner Pressemitteilungs-Abdruckdienst”5 und “Microsoft-Seminar-Verkäufer” mit seiner “Hofberichterstattung” ignorieren. Dort wird die Problematik mit Secure-Boot nicht erkannt und das Microsoft’sche Narrativ ohne Einordnung wiedergekäut: Alle anderen sind Schuld.6 Read more

Es fällt mir schwer, an Tagen wie diesen mit Millionen1 betroffener Windows-Rechner, nicht “told you so” zu sagen. Das muss doch Wasser auf Ihren Mühlen sein schrieb mir noch am späten Freitag Abend ein Kunde, bei dem ich im Verlauf der vergangenen Jahre nach und nach Endgeräte mit Linux-Clients und sogar Raspi-basierten Thinclients2 ersetzt habe. Dem interessierten Leser dieses Blogs brauche ich nicht zu erklären, welche drei Ereignisse sich am Freitag ereignet haben. Die Beschreibung von a) einem weltweiten Ausfall bei Microsoft3, b) einem leicht feststellbaren Programmierfehler4 und c) einer leeren Datei5 - das können andere besser. Read more

Just gestern bei einem der typischen “wir gehen all-in auf Microsoft” Unternehmen passiert: Meine Email kam nicht durch. Der Blick in die Fehlermeldung offenbart die Fehlkonfiguration des Mailservers. EMails werden “im Namen” des Absenders neu versendet, was natürlich an der gesetzten DMARC-Policy effektiv verhindert wird. Den gleichen Schmus versuchen auch Betrüger mit ihren Phishingversuchen. Meine Damen und Herren, das genau bekommt man geliefert, wenn man offenkundig von seinem Handwerk nichts versteht. Im Falle dieses einen besonderen Unternehmens bemerkenswert, da es kürzlich von einer Ransomware für mehrere Wochen “ausgeknipst” war. Der Trend geht bekanntlich zum Zweit- und Drittbefall bis irgendwann der Groschen fällt. Read more

Jüngstes Beispiel zur Widerlegung von Security through Obscurity:1 Ein kleines C++ Programm von Arsenii Esenin2 zur Deaktivierung des Windows Defenders. Das geschieht durch eine nicht dokumentierte WSC API, die jeder AV-Hersteller zur Installation seiner Software aufrufen muss. Der Windows-Defender3 macht anschliessend Platz für das Schlangenöl des Drittanbieters. Esenin hat durch klassisches Reverse Engineering einer solchen Installationsroutine eines Herstellers diese API offengelegt. Üblicherweise verpflichten sich Nutzer der geheimen Schnittstelle mit einer NDA zur Geheimhaltung. Read more

Satya Nadella sagt im Video zur Recall Produkteinführung: “We promise to make Recall super secure. Nobody will be able to access it.”1 Das ist das “Security above else” Versprechen von Nadella und Microsoft.2 Eine glatte Lüge wie Kevin Beaumont aka GossiTheDog aufzeigt. Er hat einen ersten Blick auf Recall werfen können:3 Recall uses a bunch of services themed CAP - Core AI Platform. Enabled by default. It spits constant screenshots (the product brands then “snapshots”, but they’re hooked screenshots) into the current user’s AppData as part of image storage. The NPU processes them and extracts text, into a database file. The database is SQLite, and you can access it as the user including programmatically. It 100% does not need physical access and can be stolen. Read more

Schnell umsetzbare und technisch wenig aufwändige Tipps zum Absichern von Windows-Netzwerken: 1. Software Restrictions aktivieren Die seit XP in jedem Windows enthaltenen Software Restrictions1 aktivieren und per Gruppenrichtlinien im AD ausrollen. Wo alleinstehende Rechner außerhalb des AD im gleichen Segment stehen, müssen SRPs manuell in den lokalen Sicherheitsrichtlinien aktiviert werden.2 Auch wenn von Microsoft offiziell abgekündigt und bei Windows 11 aus Vorsatz oder Dummheit einen (leicht behebbaren) Bug eingebaut,3 stellen SRP weiterhin die sicherste und am weitesten funktionierende Implementierung eines App-Whitelisting dar. Read more

Microsofts Sicherheitsversagen ist amtlich, so Heise.1 Microsoft hat seine Kronjuwelen nicht im Griff schreibt Golem.2 Microsoft kann keine Sicherheit und schon gar nicht in der eigenen Cloud, so Günter Born.3 Und ihr Deppen kauft denen trotzdem alle ihren Scheiß ab, rantet Fefe hinterher.4 Das Lesen des Abschlussberichtes5 der US Infrastructure Security Agency (CISA) bringt weder Neues noch Erstaunliches. Microsoft operiert sicherheitstechnisch wie eine Klitsche. Mit viel Marketing Dinge verdrehend. Es wird nur zugegeben und kommuniziert, wenn es sich nicht mehr verheimlichen lässt. Und mit Gesetzen6 oder Steuern7 hat man es noch nie ernst genommen. Read more