Austausch unter IT-Professionals - Erfahrungen, Tipps, Fachsimpelei
- Ersteller Zensai
- Erstellt am
shavenne
Cadet 4th Year
- Registriert
- Aug. 2008
- Beiträge
- 121
Kann mir jemand sagen, wo ich die Windows 10 ESU als Nicht-Privat-Mensch herbekomme? Da steht, dass man das im Microsoft 365 Admin Center finden soll, irgendwie unter Volumenlizenzen. Ich habe so einen dort Punkt nicht 
Da will man denen Geld in den Rachen schieben und die lassen einen nicht
Da will man denen Geld in den Rachen schieben und die lassen einen nicht
Einer von keine Ahnung wie vielen Vorfällen die aktuell so auf einen einprasseln. Wer es jetzt noch nicht geschnallt hat das hier neben der ganzen organisierten Kriminalität auch hybride Kriegsführung läuft dem ist nicht zu helfen. Bin nur froh das wir schon vor ner Weile einen sehr viel stärkeren Fokus auf IT Security legen durften und einiges umsetzen konnten. Macht echt keinen Spaß aktuell.
konkretor
Artikeldetektiv
- Registriert
- März 2011
- Beiträge
- 7.927
Das ist die Konsequenz aus einer immer weiter vernetzen Welt. Es muss immer schneller gehen. In den 90 hast du ein Software Release über Jahre genutzt und Patches gabs alle paar Jahre mal. Das Internet stecke noch in den Kinderschuhen. Heute verbringst du 50% deiner Arbeitszeit mit Patchen. Dabei ist egal ob Linux/Windows oder irgendeine Anwendung. Es gibt jeden Monat immer irgendwelche Patches und das nicht zu knapp.
Dazu noch Container Images die aus dutzenden Software Schichten bestehen die diverse Angriffsflächen zu lassen. Eine Air Gap Installation ziemlich aufwendig ist. Nicht unmöglich. Um dann kontrolliert und geprüft die Images auszurollen. Bis damit fertig bist, gibts schon das nächste Update. Die Kunden wollen dann auch immer die letzte Version haben.
Solche Lieferketten Angriffe sind ja nichts neues. NPM ist ja schon seit Jahren Ziel solcher Angriffe.
Der Letzte ist ja keine 4 Wochen her. Python Pakete sind auch immer wieder betroffen.
https://www.trendmicro.com/en_us/research/25/i/npm-supply-chain-attack.html
MCP Server sind aktuell besonders beliegt Daten abzugreifen.
https://www.docker.com/blog/mcp-horror-stories-the-supply-chain-attack/
LLM sind ebenso betroffen
https://www.cobalt.io/blog/llm-supply-chain-attack-prevention-strategies
Ich glaube wir müssen uns von dem Gedanken trennen, das jemand eine Software bereitstellt und nichts böses möchte. Dieser Gedanke, der hinter OpenSource Projekten steht: jemand stellt eine Software bereit, um ein Problem für dich zu lösen, ist aktuell die größte Schwachstelle. Eine wirklich tolle Idee wird so total missbraucht. Da die Idee bei solchen Projekten ja immer die Zusammenarbeit in den Vordergrund gestellt ist.
Bestes Beispiel dafür war der XZ Utils Backdoor
https://www.akamai.com/blog/securit...nux-backdoor-xz-utils-discovered-what-to-know
Dazu noch Container Images die aus dutzenden Software Schichten bestehen die diverse Angriffsflächen zu lassen. Eine Air Gap Installation ziemlich aufwendig ist. Nicht unmöglich. Um dann kontrolliert und geprüft die Images auszurollen. Bis damit fertig bist, gibts schon das nächste Update. Die Kunden wollen dann auch immer die letzte Version haben.
Solche Lieferketten Angriffe sind ja nichts neues. NPM ist ja schon seit Jahren Ziel solcher Angriffe.
Der Letzte ist ja keine 4 Wochen her. Python Pakete sind auch immer wieder betroffen.
https://www.trendmicro.com/en_us/research/25/i/npm-supply-chain-attack.html
MCP Server sind aktuell besonders beliegt Daten abzugreifen.
https://www.docker.com/blog/mcp-horror-stories-the-supply-chain-attack/
LLM sind ebenso betroffen
https://www.cobalt.io/blog/llm-supply-chain-attack-prevention-strategies
Ich glaube wir müssen uns von dem Gedanken trennen, das jemand eine Software bereitstellt und nichts böses möchte. Dieser Gedanke, der hinter OpenSource Projekten steht: jemand stellt eine Software bereit, um ein Problem für dich zu lösen, ist aktuell die größte Schwachstelle. Eine wirklich tolle Idee wird so total missbraucht. Da die Idee bei solchen Projekten ja immer die Zusammenarbeit in den Vordergrund gestellt ist.
Bestes Beispiel dafür war der XZ Utils Backdoor
https://www.akamai.com/blog/securit...nux-backdoor-xz-utils-discovered-what-to-know
Wollte hier mal fragen, wie ihr das hier handhabt:
https://www.borncity.com/blog/2025/...-im-explorer-nach-oktober-2025-update-kaputt/
https://www.borncity.com/blog/2025/...e-kaputt-microsoft-erklaert-das-ganze-teil-2/
Wenn ich das richtig verstehe (siehe auch Kommentare), gibts da 3 Lösungen zu:
Tja, und einfach so NTLM verbieten ist ja auch nicht ohne. Ich sehe selbst in unserem kleinen Domänennetzwerk mit 0 Legacy Netzwerkkomponenten beim Hochfahren des DCs schön die Meldung in den Serverlogs, dass NTLM verwendet wird. Warum zur Hölle?
Edit: Am liebsten würde ich ja die Sicherheitslücke namens "Dateivorschau im Explorer" komplett deaktivieren, aber das dürfte ja auch dann die Bildervorschau betreffen, und es gibt halt echt User, die sich PDF- oder Exxcel-Dateien in dieser Vorschau angucken :x.
https://www.borncity.com/blog/2025/...-im-explorer-nach-oktober-2025-update-kaputt/
https://www.borncity.com/blog/2025/...e-kaputt-microsoft-erklaert-das-ganze-teil-2/
Wenn ich das richtig verstehe (siehe auch Kommentare), gibts da 3 Lösungen zu:
- Nutzung von NTLM verbieten: Ich nahm eigt. an, das Windows schon seit ner ganzen Weile eh Kerberos bevorzugt verwendet? Ich hab hier das Problem mit der Dateivorschau sogar in nem Domänennetzwerk gesehen. Sollte da doch eigentlich gar nicht sein, weil Kerberos benutzt wird?
- Server zu den "vertrauenswürdigen Sites" hinzufügen
- manuell das MotW (Mark of the Web) von den Dateien entfernen bzw. Dateien auf Fat32 Datenträger umkopieren
Tja, und einfach so NTLM verbieten ist ja auch nicht ohne. Ich sehe selbst in unserem kleinen Domänennetzwerk mit 0 Legacy Netzwerkkomponenten beim Hochfahren des DCs schön die Meldung in den Serverlogs, dass NTLM verwendet wird. Warum zur Hölle?
Edit: Am liebsten würde ich ja die Sicherheitslücke namens "Dateivorschau im Explorer" komplett deaktivieren, aber das dürfte ja auch dann die Bildervorschau betreffen, und es gibt halt echt User, die sich PDF- oder Exxcel-Dateien in dieser Vorschau angucken :x.
Zuletzt bearbeitet:
konkretor
Artikeldetektiv
- Registriert
- März 2011
- Beiträge
- 7.927
qiller schrieb:
Also wir diskutieren das gerade auch intern bei uns. Da wir hier auch schon echt ausfallende Anrufe hatten. So wie es scheint von einigen wirklich massiv genutzt wird. Das Problem, Microsoft fixt ja nicht den Ursprung, sondern klebt ja nur ein Pflaster drauf. Wir werden es ausgeschaltet lassen.
Mir ist das nicht aufgefallen, weil ich nie mit der Vorschau arbeite.
Zur Lücke selbst, für den Angreifer der provoziert durch die Vorschau ein NTLM Hash zu bekommen. Wenn er denn hat, gehts mit Tools wie Hashcat dran mal kurz das Passwort für den Account zu bekommen. Oder gleich die ganzen gespeicherten Accounts auf dem jeweiligen Gerät dann auszulesen und dort die Passwörter zu bekommen. Die Anzahl gespeicherte Passwörter sollte auf 0 gesetzt sein, laut Empfehlung. Problem ist, man braucht AlwaysOn VPN, da bei jeder Anmeldung ein DC verfügbar sein muss.
Daher einschränken auf 2 oder 3 gespeicherte Accounts.
Im AD gibt es aktuell diverse Baustellen.
Eine wichtige davon ist Kerberos RC4 abschalten. Das ist per Default an. Selbst wenn 2025 das AD neu installiert ist das einfach an. Das ist ja die Thematik mit Kerberos roasting.
https://www.msxfaq.de/windows/kerberos/kerberos_rc4_abschaltung.htm
Zum Thema NTLM, das ist brutal schwer loszuwerden.
Also erstmal viel einlesen in das Thema. Wenn man wirklich unsicher ist, einen Dienstleister hinzuziehen, der das schön öfters gemacht hat. Nehmt euch nicht irgendeinen Dienstleister, sondern einen, der schon zig Abschaltungen gemacht hat. Wer eine Empfehlung möchte, kann mich gerne per PN anschreiben.
NTLM wird öfters verwendet als einem bewusst ist. Gerade mit Anwendungsservern ist da viel möglich, wo es genutzt wird.
Wichtig wäre Version 1 abschalten, dies geht meistens ohne Probleme.
Version 1 ist ja schon im August 2025 abgeschaltet worden im Client. Es geister immer noch durch die Netze.
Informationen zum NTLM v1 entfernen
https://www.borncity.com/blog/2024/12/19/windows-11-24h2-server-2025-ntlmv1-wurde-entfernt/
https://support.microsoft.com/en-au...ver-2025-c0554217-cdbc-420f-b47c-e02b2db49b2e
Allgemeine Informationen zum abschalten von NTLM
https://www.msxfaq.de/windows/sicherheit/ntlm_deaktivierung.htm
Dazu empfehle ich auch dieses Sonderheft, die 25 € sind wirklich gut angelegt
https://epaper.it-administrator.de/.../editions/sonderheft-ii-2024-active-directory
Da ein AD aktuell wie ein Telefonbuch ist. Gibt es die Möglichkeit auch hier den lesen Zugriff zu beschränken auf diverse Gruppen/Accounts. Desto höher der Aufwand, desto her lässt der Angreifer von einem ab.
https://www.gruppenrichtlinien.de/a...en-schuetzen-ad-im-list-object-mode-betreiben
NTLMv1 hab ich eh schon vor Jahren überall deaktiviert. Aber genau das
ist halt das Problem und weswegen ich da auch noch NTLM nicht generell abgeschalten hab. Und dein Tip, für die NTLM Abschaltung externe Hilfe zu suchen, sagt mir auch, dass das mal nicht so nebenbei gemacht ist.konkretor schrieb:
Ist auch schon seit Jahren umgestellt. Die Domänen sind auch relativ jung hier (i.d.R. mal mit Windows 2012 Funktionslevel aufgesetzt worden). Also kein alter Legacy Kram (außer halt NTLM).konkretor schrieb:
Ranayna
Admiral
- Registriert
- Mai 2019
- Beiträge
- 9.741
Hrmpf, wieder mal eine Luecke in einer Komponente die womoeglich in extrem vielen Appliances schlummert:
https://old.reddit.com/r/sysadmin/comments/1ogjvq9/critical_bind9_dns_cache_poisoning_vulnerability/
Ich betreue keine Linux Server direkt, bei denen man soeine Luecke schnell schliessen kann.
Aber ich habe relativ viele Appliances diversester Hersteller unter meiner Fuchtel, die alle auf irgendeiner meist unbekannten Linux Distribution aufbauen.
Leider sind die in den allermeissten Faellen komplette Backboxen, und auf eine Shell kommt man nicht drauf.
Dementsprechend habe ich nix in der Hand, weder zum Pruefen noch zum mitigieren, und kann nur warten...
https://old.reddit.com/r/sysadmin/comments/1ogjvq9/critical_bind9_dns_cache_poisoning_vulnerability/
Ich betreue keine Linux Server direkt, bei denen man soeine Luecke schnell schliessen kann.
Aber ich habe relativ viele Appliances diversester Hersteller unter meiner Fuchtel, die alle auf irgendeiner meist unbekannten Linux Distribution aufbauen.
Leider sind die in den allermeissten Faellen komplette Backboxen, und auf eine Shell kommt man nicht drauf.
Dementsprechend habe ich nix in der Hand, weder zum Pruefen noch zum mitigieren, und kann nur warten...
konkretor
Artikeldetektiv
- Registriert
- März 2011
- Beiträge
- 7.927
Doch du hast Möglichkeiten, Ticket beim Lieferanten aufmachen. Auf die Lücke drauf hinweisen und dir schriftlich geben, dass man nicht betroffen ist. Hab das neulich bei der Tomcat Lücke gemacht, ich hab entweder die Antwort bekommen wird gepatcht oder nicht betroffen. Falls dann doch etwas ist, kannst du ganz klar auf den Lieferanten verweisen.
Dann ist halt die Frage, nutzen die wirklich einen BIND DNS-Server auf so einer Blackbox.
Dann ist halt die Frage, nutzen die wirklich einen BIND DNS-Server auf so einer Blackbox.
Ranayna
Admiral
- Registriert
- Mai 2019
- Beiträge
- 9.741
Ich hab keine Ubuntuerfahrung, aber anscheinend ja, wie ein User im Reddit-thread schreibt, ist das backported:qiller schrieb:
https://old.reddit.com/r/sysadmin/c...d9_dns_cache_poisoning_vulnerability/nliwx5r/
Funktioniert das Exchange Admin center gerade bei euch?
konkretor
Artikeldetektiv
- Registriert
- März 2011
- Beiträge
- 7.927
Schau doch direkt im Status, jeder Cloud Provider hat doch so etwas
https://azure.status.microsoft/de-de/status
Ja und es scheint so das wohl einiges nicht geht
https://azure.status.microsoft/de-de/status
Ja und es scheint so das wohl einiges nicht geht
WhiteHelix
Captain
- Registriert
- März 2022
- Beiträge
- 3.365
Uff schon wieder? Man könnte fast meinen, in letzter Zeit kommt nur Vibe Coding Slop