Microsoft deaktiviert seit dem 14.10.2025 im Windows Dateiexplorer die Vorschau auf Dateien, zumindest auf aus dem Internet heruntergeladene und auf Netzwerkshares abgelegte.1 Angreifer könnten durch das Betrachten der Vorschau NTLM-Hashes abgreifen. Ich muss schmunzeln. Als hätte Microsoft meinen Blog “Warum jedes Windows AD offline gehört” Anfang des Monats gelesen,2 wo ich genau einen solchen NTLM-Abfluss thematisiere. Grundsätzlich ist es natürlich besser, wenn digitale Prozesse keinen Umgang mit losen Dateien vorsehen, nicht aus dem Internet, nicht auf Netzwerkshares. Von mir empfohlen wird übrigens seit Jahr und Tag die gänzliche Abschaltung der Vorschau-Funktion mit den entsprechenden Gruppenrichtlinien (GPO). Das war schon immer Stoff für Diskussionen mit Usern, Admins und Entscheidern. Read more

Nicht erst seit meinen sieben Sicherheits-Tipps1 erhalte ich Fragen, warum ich Windows und ein Active Directory2 am liebsten offline halte. Das klingt maximal unflexibel und in Zeiten von AI-generierten Cybersecurity-Slop3 erscheine ich als Außenseiter. Im heutigen Blogbeitrag kontextualisiere ich meinen Standpunkt, erkläre die technischen Hintergründe und lege dar, wie Ransomware funktioniert. Zuletzt zeige ich, wie in einem offline betriebenen AD trotzdem mit Internet und E-Mails wie gewohnt gearbeitet werden kann. Read more

Von Stephan (vielen Dank!) erhielt ich heute morgen die Mail, dass über NTLM es auch an anderen Stellen zur Rechteausweitung kommt. Dokumentiert wird das zu DCOM von den SentinelLABS1, die zugleich auch einen schönen POC mit dem Namen “RemotePotato0” veröffentlicht haben.2 Im Detail wird über das Weiterleiten von NTLM-Anfragen eine Privilege Escalation eines angemeldeten Benutzers bewirkt. Eine Benutzerinteraktion ist nicht notwendig. (…) we had an RPC client whose authentication was relayed to other “server” protocols and without “victim” interaction. Read more

Es ist schwer diese Tage die Worte “Security” und “Microsoft” in einem Satz zu nennen. Von PrintNightMare1, frei zugänglicher SAM-Datenbank2, der Unmöglichkeit beide Designschwächen des Betriebssystems zu lösen bis aktuell zu AD-RootCerts und PetitPotam3 mit vergammelten NTLM-Authentifizierungen für Relay-Angriffe4 frage ich mich, was muß noch alles passieren? Auch die Reaktion von Microsoft entspricht beinahe den neverending-LucaApp-Fails. Zusammengefasst sagt Microsoft “Selbst schuld! Schaltet doch NTLM-Authentifizerungen einfach aus!”5 - ganz großes Kino. Read more