Nord Nord Sec #63

Moin, Hallo, Ahoi und Herzlich Willkommen zur neuesten Ausgabe von Nord-Nord-Sec.

Ich hoffe, ihr habt die längere Pause gut verkraftet. Ich fühle mich jetzt jedenfalls gut erholt nach meinem Urlaub. Dieses Mal hatte ich eine etwas größere Auswahl an neuen Artikeln, Links, Videos und co. angesammelt, um etwas für euch zusammenzustellen. Dabei habe ich einige Sachen bewusst unter den Tisch fallen lassen, über die in den letzten Wochen mehr als ausreichend berichtet wurde.

Ich hoffe, euch gefällt die Mischung, die ich euch zusammen gestellt habe.

Leinen los und ab in die Cyber-See!

Exploits, Hacks und Schwachstellen

⚡️Veeam Backup schliesst Remote Code Execution Schwachstelle Solltet ihr Veeam Backup nutzen, solltet ihr schleunigst patchen. Es werden zwei kritische Schwachstellen geschlossen (CVE-2025-48983 und CVE-2025-48984), die es Angreifern ermöglicht haben, Code auf den Zielsystemen auszuführen.

Betroffen sind laut den Entwicklern die Versionen der 12er Reihe bis einschliesslich 12.3.2.3617.

⚡️ Internet Explorer Modus von Edge wird angegriffen Durch eine Kombination aus Social Engineering und ausnutzen einer Lücke in der Chakra-JavaScript-Engine ist es Angreifenden gelungen, die Kontrolle über Rechner ihrer Opfer zu übernehmen. Die Opfer des Social Engineerings wurden auf eine Phishing-Seite gelockt und dort mit einem Flyover aufgefordert, die Seite im Internet Explorer-Kompatibilitätsmodus neu zu laden. Dort wurde nun der Exploit ausgenutzt, um Code auf den angegriffenen Computern auszuführen.

Als Mitigation empfiehlt Microsoft den Kompatibilitätsmodus weiter einzuschränken. Mehr Infos findet ihr dazu in dem Verlinkten Artikel. Abseits davon ist es empfohlen, den mittlerweile seit mehr als drei Jahren eingestellten Support des Internet Explorers zu nutzen, um auf modernere Web-Technologien umzusteigen.

Konzepte, Reports und Ideen

📖 Be Simple Matthias Endler von Corrode hat sich wieder hingesetzt (oder an den Stehtisch gestellt - who knows?) und einen neuen Artikel zu einem Thema geschrieben, das auch mich schon lange beschäftigt hat: Etwas einfach zu halten. Aber warum? Warum sollten wir nicht alle schönen Features einer Programmiersprache nutzen und es möglichst generisch, smart oder abstrahiert halten? Wollen wir etwa nicht andere Entwickler*innen damit beeindrucken, wie clever wir sind?

Matthias gibt in diesem Artikel viele schöne Einblicke anhand von praktischen Codebeispielen, warum es sich auszahlt, nicht besonders clever zu sein, sondern den Code möglichst einfach und lesbar zu halten.

📖 Supply Chain Attacks are exploiting our assumptions Jedes Mal, wenn du mit cargo add oder pip install Pakete einbindest, setzt du Vertrauen voraus: dass der Code echt, von der erwarteten Quelle und frei von unerwünschtem Verhalten ist. Trail of Bits zeigt, wie Supply‑Chain‑Angriffe diese Annahmen ausnutzen. Sei es über kompromittierte Pakete, bösartige Maintainer‑Accounts und manipulierte Build‑Artefakte.

Als Industrie sollten wir uns fragen, wie wir dem entgegen treten können, um Incidents wie bei log4j oder xz möglichst zu verhinden.

Tech, Gesellschaft, Kultur

📖 ChatGPT’s Hail Mary: Chatbots you can fuck Die KI wird laut einigen Expertenmeinungen bald in allen Winkeln unserer Leben eindringen. Sam Altman plant jetzt, euch die Chatbots mit ins Bett (oder wo auch immer ihr Sex haben wollt) zu pflanzen. Im Dezember soll erotica for verified adults ausgerollt werden.

Das Kompromat-Potenzial bei geleakten Chats wird sich also noch einmal steigern - ob das den Nutzenden bewusst ist, wenn Sie ihre Fantasien mit der KI durchspielen?

📖 The death of the corporate job Über diesen Essay von Alex bin ich letztens gestolpert und musste direkt an David Grabers hervorragendes Buch Bullshit Jobs denken. Viele Mitarbeitende in grossen Konzernen arbeiten inmitten einer grossen Dissonanz. Ihr Gehalt und das Ansehen in der Gesellschaft stehen der realen “Arbeit” und der wahrgenommenen Sinnhaftigkeit diametral gegenüber.

📖 Github MCP Registry Ihr fragt euch, ob für $Tool bereits ein MCP Server existiert? Bei Github hat jemand dieses Problem erkannt und die offizielle Github MCP Registry steht bereit.

📖 AI Security Shared Responsibility Model Mike Privette hat sein mentales Modell zu AI SEcurity Shared Responsibility zu Papier gebracht. Definitiv sinnvoll, hier etwas brainpower zu investieren, bevor man Security Domains vergisst wenn das eigenen AI-Feature live gehen sollte.

📖 Notes on switching to helix from vim Julia ist von vim zu helix gewechselt, um den integrierten Language Server zu nutzen. Nach 20 Jahren in (neo)vim sind ihr dabei einige Punkte aufgefallen und die teilt Sie hier mit uns 👍️ 

📖 Becoming the person who does the thing Wir formen unsere Charaktereigenschaften jeden Tag - durch unsere Taten, Gedanken und die Umwelt wirkt ebenfalls auf uns ein. Kern davon ist allerdings, das wir uns da auch selbst weiterentwickeln können. Eine echte Superkraft ist es, die Person zu sein, die Dinge tut und nicht nur davon redet. Inspirierender Artikel, da muss ich definitiv auch an mir arbeiten.

🎧️ TILpod Ich habe eine Podcast-Empfehlung mitgebracht! Den TILpod. Sujeevan und Dirk sprechen über Themen, die ihnen letztens untergekommen sind. Sowohl die technischen als auch die organisatorischen Themen, wie Sie zum Beispiel ihr Arbeitsleben versuchen zu verbessern haben mich dabei oft schon abgeholt.

Ich bin durch Zufall darüber gestolpert und bin jetzt dabei, alles zu hören was ich bisher verpasst hatte.

Bug Bounty Tips, Security Tools und Techniken

📺️ Caido Masterclass - From Setup to Exploits Beim implementieren eines Caido-Workflows bin ich über dieses Video gestolpert. Wenn Ihr genervt vom Burp Suite seid aber nicht allzu viel Zeit in Caido investieren wollt, bevor Ihr wechselt, nehmt euch die Stunde und schaut rein.

📖 Arcanum AI Security Lab Hub Eine Umfangreiche Sammlung an Labs rund um das Thema AI Security.

🛠️ jonaslejon/malicious-pdf Praktischer PDF-Generator zum testen von Dingen, die mit PDFs interagieren. PDF Reader, Converter, Security Scanner etc.

📺️ NahamSec Recon Course Ben hat einen kurzes (30 Minuten) Video aufgenommen, das euch die Tools und Methodiken mitgibt, um erfolgreich Recon auf ein Target durchzuführen.

Von hier könnt ihr dann durchstarten und entweder tief in einzelne Assets rein gehen - oder ihr baut euch eure eigenen Recon-Pipeline auf. 💪 

Das Zitat der Woche stammt aus einem Essay von Joan Westenberg und betrifft den neuesten Arbeitszeiten-Hype aus dem Valley. 996. Von 9AM bis 9PM und dann das ganze 6 Tage die Woche. Die totale Ausbeutung der angestellten. Sonntag wird dann vermutlich nur geschlafen, der Kühlschrank von verdorbenen Resten gereinigt und das Apartmement abgestaubt.

Passt auf euch auf, nehmt euch Zeit für euch - zum reflektieren, aufladen und um Zeit mit euren liebsten zu verbringen.

Cheers,

Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei und meldet euch an. ❤️