Von Stephan (vielen Dank!) erhielt ich heute morgen die Mail, dass über NTLM es auch an anderen Stellen zur Rechteausweitung kommt. Dokumentiert wird das zu DCOM von den SentinelLABS1, die zugleich auch einen schönen POC mit dem Namen “RemotePotato0” veröffentlicht haben.2 Im Detail wird über das Weiterleiten von NTLM-Anfragen eine Privilege Escalation eines angemeldeten Benutzers bewirkt. Eine Benutzerinteraktion ist nicht notwendig. (…) we had an RPC client whose authentication was relayed to other “server” protocols and without “victim” interaction. Read more

Es ist schwer diese Tage die Worte “Security” und “Microsoft” in einem Satz zu nennen. Von PrintNightMare1, frei zugänglicher SAM-Datenbank2, der Unmöglichkeit beide Designschwächen des Betriebssystems zu lösen bis aktuell zu AD-RootCerts und PetitPotam3 mit vergammelten NTLM-Authentifizierungen für Relay-Angriffe4 frage ich mich, was muß noch alles passieren? Auch die Reaktion von Microsoft entspricht beinahe den neverending-LucaApp-Fails. Zusammengefasst sagt Microsoft “Selbst schuld! Schaltet doch NTLM-Authentifizerungen einfach aus!”5 - ganz großes Kino. Read more

Forscher der Ruhr-Universität Bochum, der Universität Paderborn sowie der Universität Münster haben schwerwiegende Sicherheitslücken bei der Implementierung von TLS-Verschlüsselungen in gängigen Internettechnologien entdeckt, die effektiv zum Aufbrechen bzw. Übernahme führen können. Für Ihr Paper haben Sie 1.4 Mio betroffene Systeme bei großen Herstellern und Hostern identifiziert. Nach Sichtung des Papers1 und der sekundären Nachrichten und Diskussionen kann ich mit Verbindlichkeit sagen, dass ich alle empfohlenen Best-Practices seit vielen Jahren anwende und mit meinen Systemen nicht betroffen bin. Lieber nehme ich Verbindungsabweisungen in Kauf und verweigere z.B. die Authentifizierung und somit Zustellung von Mails als faule Kompromisse bei der Sicherheit einzugehen. Read more

Am 1. April hat Microsoft seinen Servicevertrag für Dienste überarbeitet und veröffentlicht. Diese sollen kommenden Monat am 15. Juni 2021 inkrafttreten. Hier einige “Kröten” zum Schlucken für jene, die bislang keine Berührungspunkte mit Informationssicherheit, Daten- oder Geheimnisschutz hatten. Das alles ist kein verspäteter Aprilscherz, ich verweise auf die in den Fußnoten referenzierten Quellen. Disclaimer vorab: Ich bin kein Jurist und dieser Blogbeitrag stellt keine Rechtsauskunft dar. Keine Nutzung von Cortana Die in jedem Windows mit Ausnahme der Windows Enterprise LTSC Versionen enthaltene Cortana-Assistenzwanze ist ausschließlich nur für die “persönliche, nicht kommerzielle Nutzung” bestimmt und lizenziert. Die Nutzung von Cortana auf vom Arbeitgeber gestellten Geräten stellt einen Lizenzverstoß dar mit den entsprechenden Konsequenzen für Haftung und Folgekosten.1 Read more

Benjamin Delpy hat wieder zugeschlagen. Seine Aufmerksamkeit richtete sich diesmal auf das betagte SCCM1. Entwickelt in den späten 90ern blickt es auf eine wechselvolle Geschichte mit einigen Irrungen und Wirrungen zurück. Genauso sieht leider auch die Security dahinter aus, die bestenfalls mit “vergammelt” zu bezeichnen ist, wenn die Crypto zur Kommunikation mit Clients nur 3DES2 benutzt3. Das Video von einem aktuellen Windows 2019 Server mit RDS/RDP Terminalservices spricht für sich. Keine vorherige Code Injection, keine zuvor installierten Tools oder Libraries - einfach nur mimikatz4 auf einem beliebigen, mit dem Terminalserver verbundenen AD-Rechner und alle Kennwörter der aktuell angemeldeten Benutzer werden in Klartext sichtbar5. Read more

Jeden Tag wird mindestens ein Windows-AD in Unternehmen “ausgeknipst”. Das war bislang mein Spruch. Ich muß mich korrigieren. Es muss heissen: Jeden Tag werden mindestens drei Windows-AD in Unternehmen “ausgeknipst”. Das wird dokumentiert mit einer schönen Liste1 von 2.155 “geplatzten” Windows-Netzwerken aus den vergangenen beiden Jahren. Der erste Datensatz beginnt im Mai 2019, der Letzte ist datiert auf vorgestern, den 10.05.2021. Diese Liste zirkuliert aktuell in einschlägigen VX-Foren. Aus Deutschland mit dabei sind große Marken wie z.B. SIEMENS, INTERSPORT, EINHELL, IRLE DEUZ, TRACTO-TECHNIK, zahlreiche KMU, Universitäten und auch einige Anwalts- und Steuerkanzleien. Der letzte Datensatz stammt von einer Glausbau-Firma aus Augsburg und datiert vom 04.05.2021. Die Website ist erwartungsgemäß zwar in Suchmaschinen bestens indiziert, aktuell jedoch nicht aufrufbar. Read more

Diese Stellungnahme ist unter https://digikoletter.github.io zu finden und wurde von 77 renommierten und anerkannten Sicherheitsforschern erstunterzeichnet. Ich habe mich dieser Stellungnahme als weiterer Mitunterzeichner angeschlossen. Darüber hinaus kann ich nur empfehlen, die gegenständliche App nicht zu installieren und Geschäfte, welche diese verpflichtend einfordern, zu meiden. Digitale Werkzeuge, wie Apps zur Kontaktnachverfolgung, können einen unterstützenden Beitrag zur Bewältigung einer Pandemie leisten. Um ihr Potential voll entfalten zu können, müssen solche Werkzeuge zielgerichtet in eine Gesamtstrategie eingebettet werden und das Vertrauen der Bevölkerung genießen. Wenn durch ihre Einführung auch neue Risiken für Bürger:innen und Gesellschaftsgruppen entstehen, muss ihr Nutzen gegen diese Risiken abgewogen werden. Read more

Es ist Freitag Nachmittag - Zeit für einen gepflegten Microsoft Rant von mir. Diesmal über den unsicheren “abgesicherten Modus” bei Windows und wie aktuelle Malware es zur Umgehung sogenannter Sicherheitslösungen ausnutzt, nachzulesen bei Heise-Security1. Windows: REvil-Trojaner trickst abgesicherten Modus aus Ich finde ein anschauliches Beispiel meines Blogs “Komplexe Schönwettersysteme” und wie usprünglich sinnvolle, gut gemeinte Funktionen zum Komplettversagen eines Systems führen2. Dabei ist Die Funktion selbst nicht neu, das mit den *Sternchen vor Jahren sogar von Microsoft dokumentiert3. Read more

Die Entwicklungen des Exchange HAFNIUM-Hacks sind haarsträubend. Mindestens zehn weitere Hacker-Gruppen sind zwischenzeitlich aufgesprungen. Zehntausende Server weltweit sind eine zu große Verlockung. “DearCry” heißt die erste Ransomware1. Im Klartext: Eine Tsunami-Welle rollt auf Microsoft AD-Netzwerke mit Exchange-Servern zu. Persönlich rechne ich ab diesem Wochenende mit der ersten Welle. Sie wird zuerst die Standard-Installationen befallen, wo die Hacker leichtes Spiel haben und anhand der Dokumente Ihre Ziele schnell identifizieren konnten. Ich tippe auf “lohnenswerte” - sprich zahlungsbereite - Behörden, Kommunen sowie große Unternehmen. Wahrscheinlich werden die Ziele noch manuell angegriffen da die benötigte Ransomware-Infrastruktur zum automatisierten Befall, Bezahlung und Entschlüsselung eingerichtet werden muß. Gleichzeitig herrscht unter den verschiedenen Hackergruppen ein harter Wettbewerb. Wer zuerst verschlüsselt, der gewinnt. Mit der zweiten Welle folgen die “low-hanging fruits”, die vielen namenlosen und automatisiert “abgefrühstückten” Server kleiner und mittlerer Unternehmen. Read more

Jeder mit einem im Internet betriebenen Microsoft Exchange-Server, Outlook Web Access (OWA) oder Exchange Active Sync (EAS) kann davon ausgehen, dass sein System seit Januar kompromittiert wurde. Das berichten Sicherheitsexperten wie Chris Krebs1 und Nachrichten-Magazine wie Golem2 oder Heise3. In Deutschland hat das BSI über 9.000 Unternehmen kontaktiert4. Die Tragweite der aktuellen Sicherheitslücken sind vergleichbar mit dem bisherigen Microsoft Super-GAU um Eternal-Blue5 und Wannacry6 vor 4 Jahren. Es ist nicht die erste Warnung vom BSI vor Microsoft Exchange7. Die Rufe erfolgen in immer kürzeren Intervallen mit immer höheren Schockwellen für die Betroffenen. Selbstverständlich sind Anti-Virus-Lösungen - Schlangenöl wie ich zu sagen pflege - kein wirksamer Schutz. Waren es noch nie in den vergangenen Jahrzehnten. Leider vertrauen noch immer zu viele IT-Verantwortliche diesem Geschäftsmodell. Read more