Das Zitat das Tages ist mir heute in Mastodon begegnet. Ein Kunstwerk! Mehr Oxymoron in 3 Zeilen in so vielen Dimensionen ist kaum noch möglich: Praktikant/Werkstudent Vibe Coding for AI Security Mercedes Benz Tech Innovation In diesem Sinne, Tomas Jakobs

Ab wann werden Designentscheidungen zum Risiko? Diese Frage stellt sich mir beim Lesen von Stefan Kanthaks jüngstem Beitrag seiner “Defense in Depth - The Microsoft Way” Serie vom 20.12.2025.1 Seit rund 30 Jahren gibt es den Windows-Scripting-Host (WSH) für die Windows-Automatisierung.2 Ein interpretiertes Visual Basic als kleiner Bruder des klassischen Visual Basic (VB).3 Nur kurze Zeit später meinte Microsoft jedoch, nur noch dem .NET Framework gehöre die Zukunft.4 Damals mehr ein politischer Move gegen das junge Java, das als plattformneutrale Gefahr betrachtet wurde.5 So zumindest meine dunklen Erinnerungen.6 Read more

Microsoft deaktiviert seit dem 14.10.2025 im Windows Dateiexplorer die Vorschau auf Dateien, zumindest auf aus dem Internet heruntergeladene und auf Netzwerkshares abgelegte.1 Angreifer könnten durch das Betrachten der Vorschau NTLM-Hashes abgreifen. Ich muss schmunzeln. Als hätte Microsoft meinen Blog “Warum jedes Windows AD offline gehört” Anfang des Monats gelesen,2 wo ich genau einen solchen NTLM-Abfluss thematisiere. Grundsätzlich ist es natürlich besser, wenn digitale Prozesse keinen Umgang mit losen Dateien vorsehen, nicht aus dem Internet, nicht auf Netzwerkshares. Von mir empfohlen wird übrigens seit Jahr und Tag die gänzliche Abschaltung der Vorschau-Funktion mit den entsprechenden Gruppenrichtlinien (GPO). Das war schon immer Stoff für Diskussionen mit Usern, Admins und Entscheidern. Read more

Nicht erst seit meinen sieben Sicherheits-Tipps1 erhalte ich Fragen, warum ich Windows und ein Active Directory2 am liebsten offline halte. Das klingt maximal unflexibel und in Zeiten von AI-generierten Cybersecurity-Slop3 erscheine ich als Außenseiter. Im heutigen Blogbeitrag kontextualisiere ich meinen Standpunkt, erkläre die technischen Hintergründe und lege dar, wie Ransomware funktioniert. Zuletzt zeige ich, wie in einem offline betriebenen AD trotzdem mit Internet und E-Mails wie gewohnt gearbeitet werden kann. Read more

Mirosoft macht mal wieder typische Microsoft Dinge. Eine Passwörtänderung bewirkt bei Microsoft Konten bei RDP-Einwahlen genau nichts. Vorbei an Online-Prüfungen, zweiten Faktoren und Gruppenrichtlinien hat Microsoft seit Jahren heimlich und undokumentiert entschieden, dass alte Passwörter weiterhin für RDP-Anmeldungen akzeptiert werden, selbst wenn diese längst ersetzt wurden.1 Entscheidend für das “Credential Caching” ist die Erstanmeldung an einem System mit dem Microsoft- oder Azure-Konto. Bei dieser Online-Erstvalidierung wird quasi ein dauerhafter Zugang eingerichtet. Man nennt sowas auch Backdoor.2 Read more

Nach dem Secure Boot Sündenfall1 von Microsoft ist vor dem nächsten Fiasko eines sogenannten Sicherheitsfeatures, diesmal von Intel. Die Software Guard Extensions (SGX)2 sind kaputt. Also richtig kaputt im Sinne von, die beiden Root-Keys (Root Provisioning Key und Root Sealing Key) können ausgelesen werden.3 Niederschmetternd für jene, die damit Ihre SKC4 und HSM Trust-Infrastruktur aufgebaut haben.5 An dieser Stelle die Erinnerung an den niederländischen Kryptologen Auguste Kerckhoff und seinem Prinzip.6 Die Sollbruchstelle für jede Art von proprietärem Sicherheitstheater. Read more

Schnell umsetzbare und technisch wenig aufwändige Tipps zum Absichern von Windows-Netzwerken: 1. Software Restrictions aktivieren Die seit XP in jedem Windows enthaltenen Software Restrictions1 aktivieren und per Gruppenrichtlinien im AD ausrollen. Wo alleinstehende Rechner außerhalb des AD im gleichen Segment stehen, müssen SRPs manuell in den lokalen Sicherheitsrichtlinien aktiviert werden.2 Auch wenn von Microsoft offiziell abgekündigt und bei Windows 11 aus Vorsatz oder Dummheit einen (leicht behebbaren) Bug eingebaut,3 stellen SRP weiterhin die sicherste und am weitesten funktionierende Implementierung eines App-Whitelisting dar. Read more

Microsofts Sicherheitsversagen ist amtlich, so Heise.1 Microsoft hat seine Kronjuwelen nicht im Griff schreibt Golem.2 Microsoft kann keine Sicherheit und schon gar nicht in der eigenen Cloud, so Günter Born.3 Und ihr Deppen kauft denen trotzdem alle ihren Scheiß ab, rantet Fefe hinterher.4 Das Lesen des Abschlussberichtes5 der US Infrastructure Security Agency (CISA) bringt weder Neues noch Erstaunliches. Microsoft operiert sicherheitstechnisch wie eine Klitsche. Mit viel Marketing Dinge verdrehend. Es wird nur zugegeben und kommuniziert, wenn es sich nicht mehr verheimlichen lässt. Und mit Gesetzen6 oder Steuern7 hat man es noch nie ernst genommen. Read more

Eine Reihe schwerwiegender Bugs trifft aktuell auf alle Owncloud-Instanzen. Mit der CVSS1 Höchstwertung von 10 sticht einer besonders hervor:2 In Containern gehostete Systemen lassen normalerweise nicht zugängliche PHP-Umgebungsvariablen abrufen. Dort können Credentials von Datenbanken, Mailservern und sonstigen Tokens enthalten sein. Selbst wenn dieses in einem Webserver (phpinfo) deaktiviert worden sei. Der Advisory schreibt: The “graphapi” app relies on a third-party library that provides a URL. When this URL is accessed, it reveals the configuration details of the PHP environment (phpinfo). This information includes all the environment variables of the webserver (…) such as the ownCloud admin password, mail server credentials, and license key. Read more

Vielen Dank für das überwältigende Feedback zum Beitrag “Management externer Dienstleister”1. Drei Vier häufige Fragen möchte ich hier im öffentlichen Rahmen beantworten: Können lokale Drucker in Guacamole durchgeschleift werden? Ja das ist möglich und für jede Verbindung einstellbar. Notwendig ist hierfür ein installiertes Ghostscript auf dem Guacamole Host. Ausdrucke werden als PDF heruntergeladen und in einem neuen Tab angezeigt (abhängig vom konfigurierten PDF-Handling im Browser). Read more