Zum Heise iX-Beitrag “Gefühlt sicher: Sicherheitsmythen und -irrtümer”1 habe ich vor einiger Zeit einen Kommentar zur Unternehmenskommunikation nach den typischen Ransomwareangriffen auf immer die gleiche Triade aus Windows, Office und Active-Directory geschrieben. Was es bedeutet, wenn jemand Phrasen wie “Wir nehmen Sicherheit ernst…” oder “Ob es zu einem Abfluss von privaten Daten kam, ist unbekannt” schreibt. Read more

Es gibt in diesen Tagen viele berichtenswerte Fails von Microsoft. Zugegeben habe ich Probleme da noch hinter her zu kommen: Von offenen Zero-Day Lücken in Exchange-Servern1, fehlenden Patches2, kaputten Bugfixes3 mit leicht auszuhebelnden IIS RegEx-Zeilen und Bugfixes von Bugfixes4. Die gewohnte Inkompetenz möchte man meinen. So wie zuletzt beim RDP-Protokoll5 und davor bei PrintNightmare. Read more

Immer wenn ich im offiziellen Auftrag Windows-Systeme hacken darf, steht ein Ordner ganz oben auf meiner “zu untersuchen” Liste. Praktisch überall, wo Remote-Desktop oder Remote-Apps zum Einsatz kommen, wird die Brisanz von angesammelten Cache-Daten auf den verbindenden Clients unterschätzt. Im Profil eines Benutzers unter %APPDATALOCAL%\Microsoft\Terminal Server Client\Cache bzw. Read more

Wer Anwendungen entwickelt und HTML-Inhalte oder komplette WebApps eingebettet einblenden möchte, greift normalerweise auf fertige Webview-Komponenten des Systems zurück. Ein universales und prinzipiell sinnvolles und sicheres Prinzip in allen Programmiersprachen und Systemen - nicht so bei Microsoft Windows. Vor zwei Tagen hat der Security-Forscher und Hacker mr. Read more