Heute, kurz vor Wochenende verspürte ich beim Anblick eines PowerShell-Skriptes wieder diese Schmerzen. Auf mehreren Seiten hat jemand die System.IO.DirectoryInfo regelrecht vergewaltigt und fern von allen ästhetischen, technischen und rationalen Aspekten sich selbst verewigt. Dabei sollte das Skript nichts anderes als alle Unterverzeichnisse eines Ordners einzeln zippen und mit einem ISO 8601 konformen Zeitstempel Präfix in ein anderes Laufwerk schubsen. Zur Schmerzbewältigung hier mein seit Jahrzehnten bewährter Dreizeiler. Im wortwörtlichen Sinne in nur drei Zeilen. Zur besseren Anpassbarkeit sind lediglich die Variablen abgesetzt: Read more

Abstürzende Dienste einer betriebswirtschaftlichen Software sind lästig. Sind es mehrere, wird es ärgerlich. Kommt noch ein Software-Lieferant hinzu, der das Problem nicht lösen will oder kann, wird es kompliziert. Eine schnelle und pragmatische Lösung musste kurz vor Ostern her. Wenn da nicht noch ein anders Übel im Weg stehen würde: Es handelt sich um Windows-Dienste. Kein Weiterkommen mit Bordmitteln Üblicherweise bieten moderne Betriebssysteme einem Admin das notwendige Instrumentarium zur Steuerung von Diensten. Unter Windows ist es das grafische Snap-In services.msc in der seit NT4 Option Pack kaum veränderten Microsoft Management Console1. Von dort aus lassen sich die Startarten und bis zu drei Fehlerbehandlungen einstellen: Read more

Früher oder später musste es so kommen. Microsoft hat das letzte gute Etwas in Windows kaputt gebastelt. Seit Jahrzehnten bilden die Software Restriction Policies - kurz SRP - den besten und effektivsten Schutz gegen Malware. Aktivierte SRPs, per GPO im AD ausgerollt, machen jedes Windows entgegen landläufiger Meinung ziemlich sicher. Schlangenöl kann man sich da getrost sparen. Nun hat Microsoft in Windows 11 22H2 vollendete Tatsachen geschaffen: Die SRPs sind kaputt.1 Und das offensichtlich mit Absicht. Seit Juli 2022 wurde dieses im Technet-Forum bereits entdeckt und diskutiert.2 Read more

Immer wenn ich im offiziellen Auftrag Windows-Systeme hacken darf, steht ein Ordner ganz oben auf meiner “zu untersuchen” Liste. Praktisch überall, wo Remote-Desktop oder Remote-Apps zum Einsatz kommen, wird die Brisanz von angesammelten Cache-Daten auf den verbindenden Clients unterschätzt. Im Profil eines Benutzers unter %APPDATALOCAL%\Microsoft\Terminal Server Client\Cache bzw. C:\Users(Benutzername)\AppData\Local\Microsoft\Terminal Server Client\Cache finden sich die begehrten Überbleibsel einer RDP-Sitzung. Die von einem Terminalserver übermittelten Bildschirminhalte sind hier in Gestalt von .bmc und .bin Dateien zu finden. Die Dateien sind durchnummeriert und repräsentieren Farbtiefen und Indexpositionen, die uns nicht weiter zu interessieren brauchen. Wichtiger ist das in Python geschriebene bmc-tools1, welches jedem mit Zugriff auf diese Daten Einblick auf den Bildschirm eines Anwenders gewährt, meist rückwirkend auf längst vergangene RDP-Sitzungen. Read more

Wer Anwendungen entwickelt und HTML-Inhalte oder komplette WebApps eingebettet einblenden möchte, greift normalerweise auf fertige Webview-Komponenten des Systems zurück. Ein universales und prinzipiell sinnvolles und sicheres Prinzip in allen Programmiersprachen und Systemen - nicht so bei Microsoft Windows. Vor zwei Tagen hat der Security-Forscher und Hacker mr.d0x ein wenig gegen die Webview2-Komponente “geklopft”1. Das ist der “verchromte” Nachfolger, der Trident Rendering Engine, die offiziell im Internet-Explorer abgekündigt ist, inoffiziell aber weiterhin ihr Dasein in jedem Windows fristet. Read more

Meine Damen und Herren wir schreiben das Jahr 2022. Alle modernen Betriebssysteme haben Werkzeuge zum Bearbeiten von PDFs.1 Mit Bearbeiten sind gemeint: Verschieben und Entfernen einzelner Seiten in einer PDF oder das Zusammenfügen mehrerer PDFs zu einer. Alle Betriebssysteme, bis auf Microsoft Windows. Ich habe keine Mühen und Qualen gescheut und in einer frisch installierten Windows VM extra nachgeschaut. Und hätte Google nicht in seinem Chrome die Foxit PDF-Engine verbaut und unter eine freie Lizenz gestellt2, gäbe es heute vermutlich auch keine Möglichkeit, PDFs in Windows mit dem Edge-Browser zu betrachten. Read more

Geht es nach Microsoft, ist die PowerShell das Mittel der Wahl in Sachen Windows-Automatisierung. Gleichzeitig wird die klassische Kommandozeile stetig aus dem Sichtfeld gezogen1 und gezielt unattraktiver gemacht z.B. durch Wegnahme von WMI-Abfragen.2 Wenn Umfragen schamlos Bash, Shell und PowerShell zusammenwerfen3 und die Fachpresse der PowerShell eine hohe Attraktivität nachplappert, habe ich meine Zweifel an diesem Narrativ. Zahlreiche Beispiele aus der Praxis untermauern die Zweifel und führen bei mir zu einer anderen Schlußfolgerung. Read more

Wer dachte, das fiese Jahr 2021 sei vorbei und Printnightmare vergangen, der hat nicht mit dem Potential von Microsoft gerechnet. Eine neue Sicherheitslücke betrifft alle RDP/RDS-Terminaldienste seit mindestens Windows Server 2008. Jeder kann unprivilegiert ohne viel Aufwand bei anderen in eine Sitzung eingreifen, in die Zwischenablage schauen und auf Dateien und Laufwerke bis hinunter auf die remote verbundenen Client-PCs zugreifen. Freigegebenen Ordner oder USB-Geräte wie z.B. Smartcard-Lesegeräte sind ebenfalls zugänglich. Read more

Von Stephan (vielen Dank!) erhielt ich heute morgen die Mail, dass über NTLM es auch an anderen Stellen zur Rechteausweitung kommt. Dokumentiert wird das zu DCOM von den SentinelLABS1, die zugleich auch einen schönen POC mit dem Namen “RemotePotato0” veröffentlicht haben.2 Im Detail wird über das Weiterleiten von NTLM-Anfragen eine Privilege Escalation eines angemeldeten Benutzers bewirkt. Eine Benutzerinteraktion ist nicht notwendig. (…) we had an RPC client whose authentication was relayed to other “server” protocols and without “victim” interaction. Read more

Es ist schwer diese Tage die Worte “Security” und “Microsoft” in einem Satz zu nennen. Von PrintNightMare1, frei zugänglicher SAM-Datenbank2, der Unmöglichkeit beide Designschwächen des Betriebssystems zu lösen bis aktuell zu AD-RootCerts und PetitPotam3 mit vergammelten NTLM-Authentifizierungen für Relay-Angriffe4 frage ich mich, was muß noch alles passieren? Auch die Reaktion von Microsoft entspricht beinahe den neverending-LucaApp-Fails. Zusammengefasst sagt Microsoft “Selbst schuld! Schaltet doch NTLM-Authentifizerungen einfach aus!”5 - ganz großes Kino. Read more