Das Zitat des Tages kommt vom Briten Kevin Beaumont aka “GossiTheDog”, Schwergewicht unter den Sicherheitsforschern zu Microsoft-Produkten.1 The US and UK governments need to get out of bed with Microsoft when it comes to cybersecurity and start holding its feet to the fire when it comes to Microsoft 365 and Microsoft’s corporate security. Passt! Microsoft musste unlängst eingestehen, kompromitierte Email-Server zu betreiben, ausgerechnet vom Sicherheits-Team.2 Durch die Hintertür erfuhr man, dass man dort Legacy-Exchange Server nutzt. Mir unbegreiflich, wie Unternehmen diesem Laden freien Zutritt zu Ihren Email-Zugangsdaten geben.3 Read more

Zum letzten Microblog1 gab es mehrere Feedbacks, die eine Konkretisierung notwendig machen. Beginnen möchte ich mit dem Feedback von Peer Heinlein2, den ich freundlicherweise zitieren darf: OwnCloud hat sich auf Filesharing spezialisiert und unterstützt für eine Dokumentenbearbeitung derzeit Collabora, OnlyOffice und auch O365. Die in OwnCloud gespeicherten Dokumente lassen sich damit mit allen diesen Anbietern direkt öffnen und bearbeiten. Um O365 einbinden zu können, wird (m.W.n.) die GraphAPI benötigt. Aus diesem Grund ist es plausibel und sinnvoll, dass OwnCloud diese Lib mitbringt. Das heißt aber ja nicht, dass OwnCloud heimlich mit Microsoft-Technologie arbeitet. Das hat auch nichts damit zu tun, dass sich OwnCloud als Alternative zu Microsoft platziert - denn genau das ist es ja im Bereich Filespeicher. Aber eine Online-Dokumentenbearbeitung, die nicht von OwnCloud nativ bereitgestellt wird, über verschiedene (auswählbare) Anbieter ist ja ein starkes und sinnvolles Feature. Und wenn einige Stellen ausdrücklich O365-Unterstützung fordern (warum auch immer) kann sich OwnCloud hier erst recht als europäische Alternative platzieren (die das möglich macht), statt dass mangels O365-Unterstützung hier zwangsweise auch der allgemeine Dateispeicher zu Microsoft wandern muss. Also eigentlich gut und wünschenswert. Read more

Eine Reihe schwerwiegender Bugs trifft aktuell auf alle Owncloud-Instanzen. Mit der CVSS1 Höchstwertung von 10 sticht einer besonders hervor:2 In Containern gehostete Systemen lassen normalerweise nicht zugängliche PHP-Umgebungsvariablen abrufen. Dort können Credentials von Datenbanken, Mailservern und sonstigen Tokens enthalten sein. Selbst wenn dieses in einem Webserver (phpinfo) deaktiviert worden sei. Der Advisory schreibt: The “graphapi” app relies on a third-party library that provides a URL. When this URL is accessed, it reveals the configuration details of the PHP environment (phpinfo). This information includes all the environment variables of the webserver (…) such as the ownCloud admin password, mail server credentials, and license key. Read more

Vor einem Jahr hat Microsoft rückwirkend bis Windows 2008 Server KB50202821 veröffentlicht, das einen Lockout auch für lokale administrative Konten ermöglicht. Bis dahin war es ein bekanntes Phänomen, dass AD Gruppenrichtlinien dieses nicht verhindert haben. Umso erstaunlicher ist es, dass diese Policy ein Jahr nach Erscheinen in zumindest den mir bekannten Windows-Adminkreisen kaum bekannt, geschweige denn aktiviert ist. Selbstredend gehe ich davon aus, dass die zugehörigen Sperrzeiten gesetzt sind. Read more

Ein frisch installiertes Windows kommt immer mit einer Breitseite an Bloatware. Microsoft macht daraus kein Hehl: Das ehemalige Betriebssystem ist längst zu einer Zugangs-Plattform für die eigenen Cloud-Dienste und zahlenden Werbekunden geworden. Microsoft framed1 das als “Out of Box Experience”2. Die vielen bunten, blinkenden Kacheln erinnern mehr an die Seuche der 90er: Die AOL-Zugangssoftware.3 Ein Trick hilft, die Schmerzen etwas zu mildern: Bei einer Neuinstallation sind im ersten Dialogfeld die Fragen nach Sprache, Zeit-/Währungsformat und Tastatur-Layout mit “Englisch”, “Englisch (World)” und “US” zu beantworten. Es versteht sich von selbst, dass die Installation ohne Netzwerk erfolgt, damit kein Microsoft-Konto aufgezwungen wird. Read more

In einem Entwicklerforum bin ich heute auf eine Netcraft Statistik gestossen, die zeigt wie bedeutungslos Mirosoft mit seinem IIS Server, .aspx und .NET Webservices geworden ist.1 The largest loss in sites for a major vendor this month comes from Microsoft, which is down 2,866,173 sites (-9.59%) and 74,094 domains (-0.98%). Seit dem Peak in 2017/2018 mit über 50% Anteil an Webservern kennt die Statistik nur eine Richtung. Das alles in Anbetracht von stetig wachsenden Serververkäufen2 und mehr VMs bzw. Container pro Einheit. Read more

Wie bereits letztes Jahr berichtet1 sind in Windows 11H2 die SRPs kaputt. Kaputt gemacht worden muss ich ab heute schreiben. Der von mir geschätzte Stefan Kanthak sich die Sache einmal näher angeschaut und die Ursache wie folgt charmant beschrieben:2 In Windows 11 22H2. some imbeciles from Redmond added the following (of course WRONG and INVALID) registry entries and keys which they dare to ship to their billion world-wide users. Bei den besagten Registry-Einträgen handelt es sich um: Read more

Früher oder später musste es so kommen. Microsoft hat das letzte gute Etwas in Windows kaputt gebastelt. Seit Jahrzehnten bilden die Software Restriction Policies - kurz SRP - den besten und effektivsten Schutz gegen Malware. Aktivierte SRPs, per GPO im AD ausgerollt, machen jedes Windows entgegen landläufiger Meinung ziemlich sicher. Schlangenöl kann man sich da getrost sparen. Nun hat Microsoft in Windows 11 22H2 vollendete Tatsachen geschaffen: Die SRPs sind kaputt.1 Und das offensichtlich mit Absicht. Seit Juli 2022 wurde dieses im Technet-Forum bereits entdeckt und diskutiert.2 Read more

Mich hat unlängst ein Mitarbeiter eines Kunden gefragt, warum er den empfundenen Aufwand mit Passwortmanager, TOTP, dieses und jenes habe. Früher hätte es das nicht gegeben und war alles besser. Ein Totschlag-Argument. Bis kurz vor dem Untergang hat die Titanic auch noch nie einen Eisberg geschrammt. Meine politisch korrekte Antwort: Die genutzten Microsoft-Produkte des Unternehmens machen diese Maßnahmen erforderlich. Das Risiko ist sehr hoch1. In Deutschland “platzen” täglich Netzwerke von Unternehmen mit vergleichbarer Software- und Infrastruktur-Landschaft. Die wochen- oder manchmal monatelangen Ausfälle und Datenverluste können für die Betroffenen existenzbedrohend sein. Read more

Blau repräsentiert ursprünglich zwar ein anders Unternehmen1 aber das ist bei dem aktuellen Microsoft-Leak persönlicher und vertraulicher Daten nur ein Detail am Rande. 65.000+ Entitäten aus 111 Ländern und 548.000 Einzelpersonen haben aktuell andere Sorgen.2 Geh’ in die Cloud haben sie gesagt. Deine Daten sind sicher haben sie gesagt. Oder in den eigenen Worten von Microsoft: Alles so schön blau… Read more