Nord Nord Sec #62

Moin, Hallo, Ahoi und Herzlich Willkommen zur neuesten Ausgabe von Nord-Nord-Sec.

Die letzte Woche war recht viel los bei mir - und Ich freue mich darauf, jetzt erst einmal Urlaub zu haben. Dementsprechend wundert euch nicht, wenn einige Zeit kein neuer Newsletter kommt. Auszeiten sind wichtig.

Exploits, Hacks und Schwachstellen

⚡️Microsoft hat kritische Schwachstelle in Entra ID gefixt Im Juli hat ein Sicherheitsforscher mit einer Schwachstelle in Microsofts Entra ID den Jackpot geknackt: 10.0 CVSS Score - das muss man erst einmal schaffen. Die Lücke ermöglichte es, Angreifenden als Administratoren auf jeden Beliebigen Tenant zuzugreifen.

Der Angriff wurde durch die Kombination eines undokumentierten Actor Tokens, den Microsoft im Backend für die Service-to-Service Kommunikation nutzt, mit einer Schwachstelle in der Azure AD Graph API möglich und hätte schwere Folgen haben können.

Laut Microsoft sind ihnen keine Fälle bekannt, in denen die Lücke erfolgreich ausgenutzt wurde.

⚡️Das NPM Supply-Chain Desaster geht weiter Nachdem bereits eine grosse Crypto-Stealer-Kompromittierung von diversen Packages im NPM Repository bekannt wurde, gab es noch eine weitere Welle die über einen weiteren Maintainer eingebracht wurde. Als kleinen Bonus kann man dieses mal von einem Wurm reden, da die Malware die Fähigkeit hat, sich in weitere Pakete zu injecten. Toll.

Falls ihr noch nicht in eure verwendeten NPM Pakete gekuckt habt - jetzt wäre (wieder) ein guter Moment dazu 🧨 

Konzepte, Reports und Ideen

📖 Office Walker Vor einiger Zeit ist mir der Office Walker mal irgendwo durch die Feeds gespült worden. Das ist ein Stromfreies Walking Pad - Ich bin begeistert! DIe ersten Prototypen sahen sehr cool aus und scheinen echt leise zu sein. Wenn sich das ganze einigermassen im bezahlbaren Bereich bewegt, werde ich die Kickstarter Kampagne supporten und meinem Standing-Desk-Setup ein kleines Upgrade verpassen.

📖 How an Attacker’s Blunder Gave Us a Rare Look Inside Their Day-to-Day Operations Spannender Write-Up von Huntress, die bemerkt haben, das ein Threat Actor sich für ihre Trial Version angemeldet hat. Über die eingesammelte Telemetrie konnten Sie verschiedene Einblicke Sammeln. Von verwendeten Tools (EvilNginx, Make, Telegram Bots), dem Einsatz von AI Tools und Google Translate und welche Dark-Net Märkte auf Interesse gestossen sind - faszinierende Perspektive und irgendwie auch ein amüsanter Fuck Up.

📖 Can AI weaponize new CVEs in under 15 Minutes? Normalerweise ist die Antwort auf Fragen im Titel ja meistens “nein” - Hier allerdings nicht. Sicherheitsforscher haben ein System entwickelt, das innerhalb von 15 Minuten funktionierende Exploits für neue CVEs entwickelt.

Hatte das Blue Team früher noch einige Tage oder wenigstens Stunden zur Verfügung, wenn neue Schwachstellen publik geworden sind, so hat sich dieses Zeitfenster jetzt erheblich verkleinert.

Man darf gespannt sein, wo diese Entwicklung hin geht - aber Angriffsoberfläche reduzieren und Time-to-Patch reduzieren sollten weit oben auf der Prio-Liste stehen.

Tech, Gesellschaft, Kultur

📺️ Developers are exhausted So langsam mausert sich BigBoxSWE zu einem meiner Lieblings-Kanäle auf Youtube. Das neue Video gibt in fünf Minuten einen Abriss, warum Entwickler*innen so fucking exhausted sind.

📖 Many years on the job and i still don’t get it Dave Rupert hat sich einmal die Mühe gemacht, aufzuschreiben, welchen Tätigkeiten er während eines Arbeitstages nachgeht - ausser Code zu schreiben. Und auch nach zwanzig Jahren ‘on the job’ versucht er manchmal, den Erfolg seines Arbeitstags anhand von geschriebenen Codezeilen zu quantifizieren, was aber nunmal nur einen Bruchteil der eigentlichen Arbeit ausmacht. Schade eigentlich. Immerhin wäre das so eine tolle Kennzahl, um Entwickler*innen zu bewerten.

📖 The Managment Skill No One Talks About Toller Artikel zu einem Parenting/Management Skill, von dem man viel zu selten hört: Repair. Wir alle machen Fehler, wir alle enttäuschen unser Team (oder auch unsere Kinder, Partner*innen, Freunde) - aber wie gehen wir damit um? Um eine Beziehung zu reparieren, gibt es hier einen Leitfaden mit auf den Weg: Den Fehler akzeptieren und zugeben - und zwar ganz spezifisch. Dabei soll es keine Erklärungen geben, warum wir unter soviel Stress standen etc - es geht nicht um uns, sondern um die Person, der wir unrecht getan haben. Der nächste Schritt ist dann (natürlich), das problematische Verhalten zu ändern. Und am Ende braucht es auch einfach etwas Zeit.

Klingt ja gar nicht so schwer - aber vermutlich wissen wir alle, dass das auch nicht so einfach ist, wie Ich es jetzt hier aufgeschrieben habe. Veränderung von Verhaltensmustern dauert Zeit und braucht echte Reflektion.

Nehmt euch die Zeit - für euch und euer Team/Familie/Freunde. Sie werden es euch danken.

📺️ How to tell your co-workers that they suck at InfoSec and actually get away with it Unterhaltsamer Talk vom MRMCD2025, wie man den Kolleg*innen einen gewissen Push geben kann, ihre Security zu verbessern - ohne sich gleich ins Sozial Abseits zu schiessen. 👍️ 

Bug Bounty Tips, Security Tools und Techniken

📖 Building an Android Bug Bounty lab: the ultimate guide to configuring emulators, real devices, proxies and other mobile hacking tools (featuring Magisk, Burp, Frida) Die Kollegen bei YesWeHack haben einen umfangreichen Guide geschrieben, wie ihr euch eine Android-Testumgebung für Bug Bounty (oder Pentests) aufsetzt. Absolut Gold wert, hier eine recht aktuelle Variante zu haben - und einmal alles aus einer Hand. Absolute Leseempfehlung. Ich habe auch noch ein paar kleine Tipps mitgenommen bzw. meinen Workflow noch optimiert.

📺️ 10 CLI apps that have actually improved the way I work in the terminal Coole List mit praktischen Tipps für CLI-Tools die den Workflow verbessern können - schaut ruhig mal rein. Wenn ihr “nur” die Programme wissen wollt, hier das tl;dr: zoxide, rg, fd, tmux, gh, doppler, pass, jq, stow, fzf.

🛠️ JsMon Ein Tool zum Monitoren von Changes im JS Code - Mit jeder Ausführung holt sich das Tool die aktuell ausgelieferten Javascript Files und macht euch auf Veränderungen aufmerksam. Super um bei einem Bug Bounty Programm mitzubekommen, wenn sich etwas verändert - und ggf. direkt auf die Schwachstellen gestossen zu werden.

📖 A Comprehensive Guide to Manually Hunting SQL Injection in MSSQL, MySQL, Oracle, and NoSQL (MongoDB) Nachdem Ich euch in der letzten Ausgabe schon ein Video zum Thema SQLi mitgegeben habe, hier noch die Ergänzung in Form eines Guides. Schaut mal rein, kuckt eure Programme durch - vielleicht fällt ja ein Report ab 💉 

Das Zitat der Woche kommt dieses mal aus “Drive to Survive” - der erfolgreichen Netflix Serie zur Formel 1.

Das hat Will Buxton zu Liam Lawson gesagt, der innerhalb kürzester Zeit nicht nur Daniel Ricciardos aus dem Team gekickt hat - und sich dann neben Max Verstappen den Platz im RedBull gesichert hat. Wenn das stimmt, müssen sie die anderen Teams warm anziehen.

Cheers,

Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei und meldet euch an. ❤️