Da ist der Wurm drin: „Wormable“ CVSS-10-Lücke in Microsoft DNS-Server

Veröffentlicht Veröffentlicht in News

Für eine maximal kritische Schwachstelle in sämtlichen Windows-Servern von 2003 bis 2019 hat Microsoft zum Patch Day, zusätzlich zum Fix per Update, auch einen Workaround veröffentlicht, der die Sicherheitslücke für nicht zeitnah patchbare Server schließt. Diese Dramatik beruht auf berechtigten 10 von 10 CVSS-Punkten dank des Potenzials zur Weiterverbreitung zwischen Servern ohne jegliche Benutzerinteraktion („Wurm“).

https://www.heise.de/security/meldung/Patchday-Trojaner-koennte-von-einem-zum-naechsten-Windows-DNS-Server-springen-4844150.html

https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/

Lesetipps Juli 2020

Veröffentlicht Veröffentlicht in News

Bitkom-Studie: 75 % bewölkt

In 3 von 4 Unternehmen werden Cloud-Infrastrukturen genutzt. Aber 70 % der Nicht-Nutzer fürchten einen unberechtigten Zugriff, 60 % ist die Rechtslage unklar, 59 % zweifeln an der Integration einer Public-Cloud in bestehende Lösungen und 43 % fehlen Ressourcen im Personal. Sichere Cloud ist zwar machbar, aber keinesfalls kostenlos zu haben.

https://www.bitkom.org/Presse/Presseinformation/Drei-von-vier-Unternehmen-nutzen-Cloud-Computing


Crowd-Sourced Tech-Talk Best-Of

Mit der Frage „What’s the best tech talk you’ve ever seen?“ hat Microsoft Azures Open-Source-Evangelistin Ashley Willis einen langen Reply-Thread aus Vortragsempfehlungen geschaffen:

https://twitter.com/ashleymcnamara/status/1278537744352862208


Can you see me swinging: Abhören via Lamphone

Nur im Dunkeln ist gut munkeln: Wenn Schallwellen das Licht flackern lassen, ermöglicht das unter bestimmten Umständen bereits ein passives Abhören. Ein klarer Vorteil gegenüber herkömmlichen Lasermikrofonen, welche aktiv arbeiten und daher wesentlich teurer und prinzipiell auch detektierbar sind.

https://www.heise.de/news/l-f-Verraeterische-Gluehlampen-4784368.html


Dein Freund und Chat-Buddy: EncroChat von Polizei übernommen

Mit modifizierten Smartphones und einer eigenen Infrastruktur betrieb EncroChat einen Dienst, auf dem Nutzer Drogen- und Waffengeschäfte abwickelten. Anfang 2020 gelang die Infiltration der Infrastruktur und damit die Exfiltration der unverschlüsselten Kommunikation. Nachdem Mitte Juni die Kompromittierung auffiel, nahmen die Ermittler in mehreren europäischen Ländern umfangreiche Verhaftungen vor.

https://www.heise.de/news/Encrochat-geknackt-Schwerer-Schlag-gegen-organisierte-Kriminalitaet-4802419.html

https://en.wikipedia.org/wiki/EncroChat#References

https://www.vice.com/en_us/article/3aza95/how-police-took-over-encrochat-hacked

Von hinten durch die Brust ins Knie: KI-Fail bringt Microsoft in Bredouille

Veröffentlicht Veröffentlicht in News

Man hätte es wissen müssen in Redmond: Die Stabübergabe an eine KI war vor ein paar Jahren schon einmal medial kolossal schiefgegangen, als Twitter-Nutzer einen gutgläubigen Microsoft-Chatbot zu einem Nazi-Plappermaul umdressierten. Doch nun war die Verlockung, 77 Redakteure des Nachrichtenportals MSN.com mit einem Schlag durch einen Algorithmus ersetzen zu können, scheinbar zu groß. Dies(er) rächte sich nach kurzer Zeit, indem er einen Artikel des britischen „Independent“ über eine Popgruppe als interessant auswählte – und beim automatisch hinzugefügten Bild zwei nicht-weiße Musikerinnen verwechselte. Nicht nur, aber gerade in Zeiten der neuen Black Lives Matter-Bewegung ist das zunächst mehr als peinlich, da es zeigt, wie sehr der Algorithmus vor allem auf weiße Gesichter trainiert war.

Aus einem ganz anderen Grund sollten wir für den Vorfall jedoch dankbar sein: Er zeigt einmal öffentlich, was sonst meist hinter den Kulissen verschleiert abläuft. Machine Learning ist extrem effektiv darin, uns unsere Stereotypen und Vorurteile abzugucken und deren Anwendung zu perfektionieren. Angesichts der immer weiter voranschreitenden Delegation von Entscheidungen an Algorithmen ist klar: Lernen wir nicht, Bias und Diskriminierung zu detektieren und Gegenmaßnahmen zu entwickeln, dann wird dies zukünftig nicht nur großen Anbietern auf die Füße fallen, sondern der Gesellschaft insgesamt.

https://www.spiegel.de/netzwelt/web/microsoft-msn-ki-verwechselt-musikerinnen-a-6b712b8f-4dfa-4d77-88a2-42cf2bccd3f3

Die Grenzen der Geduld: Kriminelles Callcenter gehackt

Veröffentlicht Veröffentlicht in News

Ein Sicherheitsforscher hat zu „robusten“ Maßnahmen gegriffen und sich in die Prozesse krimineller digitaler Machenschaften gehackt. Durch die Übernahme von Systemen in einem Callcenter der Verbrecher konnte er u. a. 70.000 Anrufmitschnitte und Livebilder der Videoüberwachung erbeuten. Die Aufnahmen wurden in einer Dokumentation der BBC und auf YouTube veröffentlicht.

https://www.golem.de/news/callcenter-sicherheitsexperte-hackt-microsoft-betrueger-2003-147058.html

Signing Party verschoben: Microsoft verspricht und verschiebt LDAP Signing

Veröffentlicht Veröffentlicht in News

Das Protokoll LDAP (Lightweight Directory Access Protocol) ist die Basis vieler kritischer Authentifizierungssysteme. So beruht unter anderem auch die Basis der Active Directory Services (ADS, oft einfach AD genannt) darauf. Bestimmte Angriffe auf die Authentifizierung lassen sich dadurch verhindern, dass Signaturen in LDAP eingeführt werden. In Windows ist dies bisher nicht der Fall.
Microsoft war mit der Ankündigung vorgeprescht, LDAP Signing ab März zum Standard zu machen – und ruderte kurze Zeit später wieder zurück. Wohl aufgrund des Aufschreis bestimmter Nutzergruppen, die um die Kompatibilität ihrer Legacy-Systeme fürchten, wurde das Sicherheitsfeature nun auf die zweite Jahreshälfte 2020 verschoben.
Der folgende Beitrag beschreibt, wie sich anhand der Event ID 2887 im Event Log der Domain Controller überprüfen lässt, ob die eigene Landschaft mit dem Change klarkommen würde. 

https://opensecurity.global/forums/topic/249-preventing-ldap-apocalypse-in-march-2020-ldap-signing-requirements/

Vor der eigenen Garage kehren: Microsoft-Parkhäuser im Internet

Veröffentlicht Veröffentlicht in News

Auch der beste SDL (Security Development Lifecycle), Rolling Updates in den aktuellen Betriebssystemen und noch so viele Patch Tuesdays bewahren anscheinend nicht davor, dass der eigene Dienstleister versagt: Die Parkhaussteuerung am Microsoft-Firmensitz sollte normalerweise nicht aus dem Internet erreichbar sein. Trotzdem konnte man auf die Server in Redmond problemlos zugreifen. Immerhin war das Problem schnell behoben.

https://www.golem.de/news/sicherheitsluecken-microsoft-parkhaeuser-ungeschuetzt-im-internet-2001-146025.html

Hack Yourself mit Microsoft: Das Security Portal kommt

Veröffentlicht Veröffentlicht in News

Microsoft ist dabei, die Sichten und Daten diverser Ökosystem-eigener (Cloud-)Sicherheitstools im „Microsoft Security Portal“ zusammenzuführen (in Zukunft erreichbar unter security.microsoft.com – noch läuft dort ein „private preview“ für ausgewählte Nutzer). Ein Blogpost anlässlich der jüngsten Microsoft-Ignite-Konferenz zeigt in Form eines „Hack Yourself“-Experiments anschaulich, was dort an Funktionen zu erwarten ist, mit denen O365 & Co. abgesichert werden können.

https://emptydc.com/2019/11/21/go-hack-yourself-ignite-2019-edition/