Nord Nord Sec #58

Moin, Hallo, Ahoi und Herzlich Willkommen zur neuesten Ausgabe von Nord-Nord-Sec.

Diese Woche hat sich herausgestellt, dass das Thema MCP in diversen Artikeln relevant war. Ob das Schwachstellen sind oder der Umgang mit hartkodierten Credentials - Wenn ihr AI-Tools auf eure non-AI Tools loslassen wollt, solltet ihr das ganze auch sauber absichern.

Exploits, Hacks und Schwachstellen

⚡️ Booking.com-Phishing Attacke mit Unicode-Character Eine aktuell laufende Phishing Kampagne auf booking.com Kund*innen macht sich den japanischen hiragana character - ん - zu nutze, um auf dem ersten Blick eine valide booking-url anzuzeigen.

⚡️ MCPoison: Schwachstelle in Cursor lässt Angreifer beliebigen Code via MCP ausführen Wird eine neue MCP Anbindung in Cursor integriert, wird der User lediglich ein mal explizit um Genehmigung gebeten. Wird diese Anbindung im Nachhinein manipuliert, erfolgt keine weitere Abfrage. Das kann passieren, wenn die Datei .cursor/rules/mcp.json in einem Repository liegt und so von mehreren Nutzenden verändert werden kann.

Die Lücke wurde mit Cursor Version 1.3 behoben.

⚡️ Cisco warns of CVSS 10.0 Flaw in FMC Radius Cisco warnt vor einer kritischen Schwachstelle (CVE-2025-20265, CVSS 10.0) in der Secure Firewall Management Center (FMC) Software. Durch einen Fehler in der RADIUS-Implementierung können Unbefugte aus der Ferne beliebige Befehle mit hohen Rechten ausführen, wenn RADIUS-Auth für Web- oder SSH-Management aktiviert ist. Betroffen sind u. a. FMC-Versionen 7.0.7 und 7.7.0.

Konzepte, Reports und Ideen

🧠 Prompt Injection Engineering for Hackers: Exploiting Github Copilot Sehr cooler und anschaulicher Use-Case der Forschenden bei Trail of Bits. In diesem Artikel haben Sie eine unsichtbare Prompt Injection in einem Github Issue entwickelt, die Github Copilot dazu bringt, eine Backdoor einzubauen.

Lese-Empfehlung für alle, die KI Systeme einsetzen, um beim Programmieren zu helfen!

📜Beware of MCP Hardcoded Credentials Security Researcher von Trend Micro haben in einer Untersuchung von über 19.000 MCP Servern festgestellt, das in 48% der Fälle die Verwendung von .env Files zum Speichern von Secrets vorgeschlagen wird. Da hier Credentials dann in Klartext vorliegen, können Angreifer sich trivial durchs Netz auf andere Systeme bewegen.

Die zweite Hälfte des Artikels zeigt dann, wie mithilfe kleiner Wrapper-Skripte und der Verwendung von Secret-Storage Möglichkeiten das ganze auch sicher erledigt werden kann. 👍️ 

Tech, Gesellschaft, Kultur

🫕 Proton zieht sich langsam aus der Schweiz zurück Auch die Schweiz möchte mittlerweile Informationen über Kunden von Unternehmen herausgegeben haben. Um den Privacy-Fokus aufrecht zu erhalten, hat Proton begonnen in Deutschland und Norwegen Standorte aufzubauen.

Ob und wie lange das Sinn macht, wird sich zeigen - immerhin geistert auch in der Europäischen Union das Gespenst “Chatkontrolle” umher… Ich werde das auf jeden Fall weiter im Blick behalten und notfalls meine Mails umziehen. Meldet euch gerne, wenn es hier

💀 Doomprompting is the new Doomscrolling Interessanter Essay von Anu, wie LLM Chatbots zu einer ähnlichen inneren Leere führen können wie Stundenlanges doomscrolling in diversen Sozialen Medien. Statt endlos zu konsumieren, verhandeln wir nun endlos mit Maschinen und verwechseln Aktivität mit echter Agency. Anu zeigt, warum AI zwar upstream und downstream hilft (Ideen klären, Entwürfe schärfen), aber im “messy middle” des Denkens versagt – dort, wo Stimme, Urteil und Risiko entstehen. Pointiert fordert der Text “slow AI” und kognitive Reibung, damit Tools zu Sparringspartnern werden statt zu Slotmaschinen der Scheinproduktivität. Ganz klare Leseempfehlung: Wer mit AI arbeitet, bekommt hier einen klaren Kompass – und Lust, das “leere Kästchen” wieder als Ort echter Neugier zu nutzen.

🛌 Das Ende des digitalen Dornröschenschlafs Die in letzter Zeit viel kritisierte Abhängigkeit Europas von US‑Tech und Chinas Industrie wird hier einmal in die Tiefe Analysiert. Im Gespräch erläutert Manuel Atug, Sprecher der AG KRITIS, dass Souveränität nicht Autarkie heißt, sondern echte Auswahl durch Wettbewerb, offene Standards und maschinenlesbare Schnittstellen statt proprietärer Lock-ins. Kernargumente: Statt KI‑Gigafactories braucht es Rechtsdurchsetzung (z. B. DSGVO, NIS‑2), transparente Asset-Analysen und eine systematische Reduktion von Vendor Lock-in; Resilienz entsteht primär durch Basics wie Backups, getestete Wiederherstellung, Georedundanz und abgesicherte Fernwartung. Atug warnt vor symbolpolitischen Projekten wie dem „Cyberdome“ und betont Bildung und Führungskräfteschulungen im Risikomanagement, um nachhaltige digitale Handlungsfähigkeit aufzubauen.

📺️ The Development of Balatro DAS Spiel des letzten Jahres, Balatro, ist in Lua entwickelt worden mit der Love2D Engine. Eine ziemlich ungewöhnliche wahl - aber das Spiel ging dann komplett durch die Decke.

Wenn ihr euch latent für Videospiele oder deren Entwicklung interessiert, schaut ruhig rein!

📺️ The Death of the IDE Steve Yegge und Nathan Sobo versuchen sich in einem ca 1 stündigem Gespräch der “IDE der Zukunft” zu nähern - Die Zukunft wird uns dann zeigen, wer recht hatte. Steve ist jedenfalls sehr davon überzeugt, dass “Menschen die auf Code starren” nicht der Weg sind…

Bug Bounty Tips, Security Tools und Techniken

🧠 kapilduraphe/mcp-watch Ein umfangreicher Scanner für Schwachstellen in MCP Servern. Die Entwicklung eigener Scans ist möglich, um die bereits implementierten Scanner zu erweitern. Cooles Projekt!

🧠 PatrickJS/awesome-cursorrules Eine große Sammlung an Cursor-Rules für die verschiedensten Programmiersprachen und Tech-Stacks. Wenn ihr beim Vibe-Coden feststellt, dass das nicht so vibed wie ihr das wollt - schaut mal rein und legt den Agenten engere Zügel an.

Das Zitat der Woche stammt von Steve Wozniak, dem Techniker hintern/neben Steve Jobs, der Apple gross gemacht hat.

Faszinierend, wenn man sich überlegt, wie getrieben viele Menschen von Geld sind. Auf der anderen Seite ist es natürlich ein gewisser Luxus, wenn man sich nicht mehr um Geld kümmern oder sorgen muss - einfach weil sowieso genug da ist.

Was würdet ihr machen, wenn Geld keine Rolle spielt?

Cheers,

Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei und meldet euch an. ❤️