Es gibt in diesen Tagen viele berichtenswerte Fails von Microsoft. Zugegeben habe ich Probleme da noch hinter her zu kommen: Von offenen Zero-Day Lücken in Exchange-Servern1, fehlenden Patches2, kaputten Bugfixes3 mit leicht auszuhebelnden IIS RegEx-Zeilen und Bugfixes von Bugfixes4. Die gewohnte Inkompetenz möchte man meinen. So wie zuletzt beim RDP-Protokoll5 und davor bei PrintNightmare.6 Ich möchte den Blick auf etwas richten, das im medialen Echo rund um die Exchange Zero-Day-Lücke unter dem Radar geblieben ist. Das gängige Security-Theater von Closed-Source Softwareanbietern mit intransparenten Diensten, immer wieder der Kundschaft vorgeträllert und üblicherweise kaum mess- oder verifizierbar. Es sei denn die Marketing-Märchen werden binnen kurzer Zeit als Lügen entlarvt. Read more

Bei einer AD-Umstellung letztes Jahr habe ich eine vermeintlich unscheinbare aber für ein Unternehmen immens wichtige Windows-Software vergessen. Es ist eine der wenigen Anwendungen, die seit Erscheinen im Jahr 1990 zuverlässig ohne Skandale ihren Dienst verrichtet. Und obwohl alt, wird diese noch heute nicht nur von der Geschäftsführung des besagten Unternehmens sondern auch von weiteren 35 Mio Anwendern jeden Monat genutzt.1 Die Rede ist von Solitär2. Bestandteil in jedem Windows seit Versionsnummer 3. Offiziell zum Erlernen der Mausbedienung hieß es damals. Kompletter Humbug - niemand musste jemals diese erlernen. Dunkel erinnere ich mich, wie ich bereits Ende der 80er in meinen Power-BASIC und Turbo-Pascal DOS-Anwendungen auf dem Schneider Euro-PC3 Mausunterstützung mit Interrupt 334 programmiert habe. Der wahre Grund, warum Solitär in Windows landete ist profaner und mit Ockham einfacher zu erklären: Weil man es konnte und der Praktikant5 noch Freude an der Sache hatte und es Microsoft kostenlos in den Schoß legte.6 Zudem brauchte man dringend Anwendungen, um den Konkurrenzprodukten wie Geoworks7, OS/28 oder das kostenlos in DR-DOS enthaltene GEM9 etwas entgegen halten zu können. Diese waren in vielen Aspekten richtungweisender und besser. Aus der Retrospektive betrachtet unbegreiflich, wie sich das damals bestenfalls drittklassige Produkt aus Redmond durchsetzen konnte. Die unlauteren Mittel kamen leider erst später Ende der 90er Jahre in den bekannten Antitrust-Verfahren zum Vorschein.10 Read more

Zeit zum Feststellen unbequemer Wahrheiten. Im Grunde nichts Neues und alles Wiederholung dessen, was ich hier im Blog von mir gebe. Diesmal aber mit Unterstützung und Datenbasis des aktuellen Verizon1 Data Breach Investigation Reports (DBIR)2, den ich mir gestern Abend bei einem Glas Wein angetan habe. Bitte schnallen Sie sich an, es wird ein wilder Ritt durch aktuelle Zahlen und Ursachen, ergänzt durch meine Einlassungen und Praxisbeispiele. 82% aller Ransomware-Vorfälle basieren auf Social Engineering3. Erst mit Kenntnis von Personen und tagesaktuellen Vorgängen werden Menschen dazu gebracht, auf schadhafte E-Mails zu klicken. Das meine Damen und Herren sind die Nebeneffekte von jedem Engagement in den sogenannten sozialen Medien. Zugleich wird diese Entwicklung auch mit miserablen Kommunikations-Tools befeuert, die angereichert mit “social” Elementen und Inner-Platform-Funktionen4 jedem freudig Auskunft geben, an welchen Projekten Ihre Mitarbeiter arbeiten oder wann, mit wem und wo sie im Urlaub sind. Read more

Wer dachte, das fiese Jahr 2021 sei vorbei und Printnightmare vergangen, der hat nicht mit dem Potential von Microsoft gerechnet. Eine neue Sicherheitslücke betrifft alle RDP/RDS-Terminaldienste seit mindestens Windows Server 2008. Jeder kann unprivilegiert ohne viel Aufwand bei anderen in eine Sitzung eingreifen, in die Zwischenablage schauen und auf Dateien und Laufwerke bis hinunter auf die remote verbundenen Client-PCs zugreifen. Freigegebenen Ordner oder USB-Geräte wie z.B. Smartcard-Lesegeräte sind ebenfalls zugänglich. Read more

Hauptangriffsvektor für Malware sind geschickt getarnte Mailanlagen. Leider auch eine oft anzutreffe Praxis im Jahr 2021 sind noch immer offene Office-Dateien in Emails, die naiv und unbedarft durch die Gegend als Anlage verschickt werden. Verhaltensänderungen sind schwierig und ich kenne leider zu viele Diskussionen mit den sogenannten “heiligen Kühen” in Unternehmen, wo behauptet wird, mit derart geblockten Office-Dateiformaten in Emails, nicht mehr arbeiten zu können. Ein entlarvendes Scheinargument! Wenn die digitale Kompetenz daran scheitert, ist es um diese nicht sehr gut bestellt. Read more

Nein so wird das nichts, wenn Microsoft vor mehr Sicherheit warnt. Im Bild sichtbar sind die neuen GPOs für ein AD mit aktivierten Softwarerestriktionen, auch SRPs genannt, die natürlich erzwungen werden und ein AD schützen. Statt diese als Lösung gegen unliebsame Malware prominent zu propagieren und unter den Wald-Wiesen-Windows-Admins bekannter zu machen warnt Microsoft in der gefühlt seit Windows 2000 unveränderten MMC. In diesem Sinne, das Wochenende langsam in Sicht. Read more

Mit Ankündigung1 beginnt Proxyshell sein Wirken in der Exchange-Welt. Bereits zum Wochenende hat es über 1900 Server befallen2. Es sind hauptsächlich Systeme, die “On-Prem” von KMU oder Ihren IT-Systemhäusern betrieben werden. Zu den betroffenen Unternehmen sollen Bauunternehmen, Verarbeitungsbetriebe und sogar ein regionaler Flughafen zählen, so Heise3 und bezieht sich dabei auf den Sicherheitsexperten Kevin Beaumont4. Vor meinem geistigen Auge schweben die ersten Meldungen in den Medien, wo von Hackern und Erpressern in negativen Superlativen geschrieben wird. Wo sogenannte Admins, die nüchtern betrachtet nur bessere Microsoft-Produktbediener sind, als Retter in der Not gelobt werden, nur weil diese in Nacht- und Wochenendschichten “geplatzte” Netze wieder neu aufgesetzt haben. Read more

Es ist wieder soweit, das BSI gibt eine “Sicherheitsdurchsage”1 für alle Microsoft Exchange-Server Betreiber. Gleich mehrere Lücken (CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207) im Technologie-Stack von Microsoft führen zur Übernahme des Servers und in Folge des kompletten AD-Firmennetzwerks. Wie zuletzt im Frühjahr bei HAFNIUM2 werden wieder Regelsätze zum Auffinden bereits kompromittierter Systeme verteilt3. Obwohl die meisten Patches gegen “ProxyShell” bereits im Mai (z.B. mit dem CU20 für Exchange 2016) von Microsoft veröffentlicht wurden, sind diese längst nicht bei allen installiert. Der Sicherheitsforscher Kevin Beaumont spricht ohne Übertreibung bei seiner Präsentation4 auf der DefCon von einem “Tip of an Iceberg”. Nur wenige Tage später werden bereits die ersten automatisierten Scans auf “Proxyshell” festgestellt5. Die Landkarte betroffener Systeme spricht für sich: Read more

Zwei Ereignisse der letzten Tage möchte ich kurz im Microblog rekapitulieren: Das erste ist ein Gastbeitrag in der F.A.Z. von der Microsoft Deutschland Chefin Dr. Marianne Janik1. Ich musste zweimal die Autorenkennzeichnung prüfen, denn Ihre Message entspricht ganz und gar nicht dem, was die üblichen Windows-Jünger aus Fachhandel, IT-Consulting und Management von sich geben: Für Nutzer – ob Unternehmen, Behörden oder Privatpersonen – wird künftig kaum ein Weg mehr an offener Software vorbeiführen. Read more

Selbst mit den eigenen Maßstäben von Microsoft gemessen, erstaunen die Halbwertzeiten von Produktversprechen. Seit 2015 heißt es, Windows folge nicht mehr dem klassischen Lizenz- und Versionsschema. Windows 10 sei das “letzte Windows”1. Sechs Jahre später ist alles anders. Das entspricht in etwa der Lebensdauer eines PC-Büroarbeitsplatzes. Gemessen an den deutlich längeren Produktzyklen in KMU z.B. bei Einführung einer warenwirtschaftlichen Software erscheint Microsoft in seinem Handeln erratisch und sprunghaft. Warum sich damit beschäftigen, wenn ganz offensichtlich den Versprechungen nicht zu trauen ist? Read more