Ransomware und Co. effektiv bekämpfen - mit dem neuen OfficeScan XGen Endpoint Security

Heutzutage ist es so einfach wie noch nie, bösartige Software zu verbreiten. Früher mussten Malware Autoren schon eine Menge Zeit investieren, um neue Schadsoftware zu programmieren. Heutzutage kann jeder, der Suchmaschinen bedienen kann, auf einfachste Art und Weise zum Kriminellen werden.

Geschäftsmodelle für Ransomware haben sich als höchst rentabel herausgestellt. Nur wenige Klicks im Darknet und schon kann man sich seine eigene Ransomware zusammenstellen. Für weniger als $40 – Ransomware as a Service.

Die Einnahmen der Erpressersoftware sind enorm, da es für viele Unternehmen oft einen viel größeren Aufwand sowie Geldverlust bedeuten würde, die Daten wieder herzustellen. Weiterlesen

Autor: Miriam Wiesner
Miriam Wiesner arbeitet seit Dezember 2013 für Proact Deutschland. Dort war sie zunächst als System Engineer für die internen Systeme verantwortlich. Aktuell ist sie als Consultant mit Fokus auf IT-Security tätig. Neben der Consulting-Tätigkeit führt sie IT-Sicherheit Audits und Penetrationstests durch, um Kundensysteme auf potentielle Schwachstellen zu prüfen. Vor ihrer Zeit bei teamix konnte sie bereits Erfahrungen als Systemadministrator sowie als Softwareentwickler sammeln.

mx_microsoft_borderWenn man Gruppenrichtlinien zuweist, kann man diese bestimmten Organisationseinheiten (OUs) oder Sites zuweisen.

Doch manche Gruppenrichtlinien sollen nur für ein bestimmtes Betriebssystem angewandt werden. Client-Versionen unterscheiden sich manchmal und es müssen unterschiedliche Einstellungen konfiguriert werden.

Wie kann man diese Herausforderung lösen, ohne OUs für jeden Systemtyp anzulegen?

Erfahren Sie in diesem Artikel, wie Sie sich die Administration mit WMI-Filtern vereinfachen. Weiterlesen

Autor: Miriam Wiesner
Miriam Wiesner arbeitet seit Dezember 2013 für Proact Deutschland. Dort war sie zunächst als System Engineer für die internen Systeme verantwortlich. Aktuell ist sie als Consultant mit Fokus auf IT-Security tätig. Neben der Consulting-Tätigkeit führt sie IT-Sicherheit Audits und Penetrationstests durch, um Kundensysteme auf potentielle Schwachstellen zu prüfen. Vor ihrer Zeit bei teamix konnte sie bereits Erfahrungen als Systemadministrator sowie als Softwareentwickler sammeln.

mx_microsoft_border

Werden mehrere Netzlaufwerke per Group Policy verbunden, funktioniert alles gut, solange der Laptop im Netzwerk mit dem Fileserver verbunden ist.

Doch sobald der Laptop keine Netzwerk-Verbindung herstellen kann, wird das Hochfahren zu einer Qual:
Der Laptop wartet, ob nicht doch eine Netzwerkverbindung aufgebaut werden kann und verzögert so die Zeit, bis sich der Benutzer anmelden kann.

Sofern nichts anderes konfiguriert wurde, beträgt die Standardeinstellung für die Wartezeit für die Richtlinienverarbeitung beim Systemstart 30 Sekunden – viel zu lange, wenn der Benutzer gerade beim Kunden ist und sein System startet. Verfügt der Benutzer ein servergespeichertes Benutzerprofil, verlängert sich die Wartezeit um weitere 30 Sekunden (sofern die Standardeinstellung nicht verändert wurde).

Die Standardwerte sollten NICHT verändert werden, um dieses Problem zu lösen, da die Änderung der Werte Einfluss auf andere Gruppenrichtlinien haben kann. Beispielsweise wird durch das Heruntersetzen der Wartezeit für die Richtlinienverarbeitung beim Systemstart die Verteilung von Software über Gruppenrichtlinien unmöglich.

Wie man den Basisordner performant per Gruppenrichtlinie einbindet, erfahren Sie in diesem Artikel. Weiterlesen

Autor: Miriam Wiesner
Miriam Wiesner arbeitet seit Dezember 2013 für Proact Deutschland. Dort war sie zunächst als System Engineer für die internen Systeme verantwortlich. Aktuell ist sie als Consultant mit Fokus auf IT-Security tätig. Neben der Consulting-Tätigkeit führt sie IT-Sicherheit Audits und Penetrationstests durch, um Kundensysteme auf potentielle Schwachstellen zu prüfen. Vor ihrer Zeit bei teamix konnte sie bereits Erfahrungen als Systemadministrator sowie als Softwareentwickler sammeln.

mx_microsoft_borderVerlässt ein Benutzer das Unternehmen, so wird oft das Exchange-Mailkonto gelöscht und der Benutzeraccount gesperrt.

Dadurch kann der ehemalige Benutzer zwar nicht mehr auf Firmendaten zugreifen, in der Global Address List (GAL) wird er dennoch für interne Mitarbeiter angezeigt. Er kann weiterhin im Adressbuch ausgewählt werden und ist im Teamkalender sichtbar.

Das liegt daran, dass der Account noch vorhanden ist und das Attribut msExchHideFromAddressLists keinen Wert enthält.
Wird das Attribut auf TRUE gesetzt, wird der Benutzer weder in der Global Address List noch in Kalendergruppen angezeigt.

Um die Arbeit mit deaktivierten Usern zu vereinfachen, eignen sich die hier beschriebenen PowerShell CMDlets. Weiterlesen

Autor: Miriam Wiesner
Miriam Wiesner arbeitet seit Dezember 2013 für Proact Deutschland. Dort war sie zunächst als System Engineer für die internen Systeme verantwortlich. Aktuell ist sie als Consultant mit Fokus auf IT-Security tätig. Neben der Consulting-Tätigkeit führt sie IT-Sicherheit Audits und Penetrationstests durch, um Kundensysteme auf potentielle Schwachstellen zu prüfen. Vor ihrer Zeit bei teamix konnte sie bereits Erfahrungen als Systemadministrator sowie als Softwareentwickler sammeln.

mx_security_border

Wenn es um Buffer Overflow geht, reden die meisten Leuten von einem Überlauf im Stack Segment. Aber was ist mit dem Heap – dem Speicher, in dem dynamische Variablen zur Laufzeit eines Programms abgelegt werden?

In meinem ersten Video habe ich über Buffer Overflow im Stack Speicher gesprochen. Dabei habe ich gezeigt, wie die Datenstruktur aufgebaut ist und wie Variablen dort verarbeitet werden. Ich erkläre auf einfache Art und Weise, wie es zum einem Überlauf kommt und wie dieser ausgenutzt werden kann.

Über Stack Overflow findet man recht viele Informationen im Netz – allerdings fast nichts zu Heap Overflow. Wodurch wird diese Lücke verursacht und wie kann sie exploited werden?

Buffer Overflow ist die Folge einer Schwachstelle in Computer Software: Indem über Speichergrenzen heraus geschrieben wird, wird dieser Exploit von Angreifern benutzt, um das verwundbare Programm zum Absturz zu bringen. Und sogar Schadcode – der sogenannte Payload – kann hierdurch in das betroffene System eingefügt und ausgeführt werden.

In diesem Video Tutorial erkläre ich zunächst die Struktur des Heap- und des Stack-Segments und wie diese sich unterscheiden. Anschließend exploite ich mein eigenes Demo-Programm und erkläre, was zur Laufzeit des Programms im Speicher passiert.

Erfahren Sie in meinem Video, warum Usereingaben abgesichert werden müssen und wie ein potentieller Hacker diese Schwachstelle ausnutzen kann.

Weiterlesen

Autor: Miriam Wiesner
Miriam Wiesner arbeitet seit Dezember 2013 für Proact Deutschland. Dort war sie zunächst als System Engineer für die internen Systeme verantwortlich. Aktuell ist sie als Consultant mit Fokus auf IT-Security tätig. Neben der Consulting-Tätigkeit führt sie IT-Sicherheit Audits und Penetrationstests durch, um Kundensysteme auf potentielle Schwachstellen zu prüfen. Vor ihrer Zeit bei teamix konnte sie bereits Erfahrungen als Systemadministrator sowie als Softwareentwickler sammeln.

mx_security_borderBuffer Overflow ist die Folge einer Schwachstelle in Computer Software: Indem über Speichergrenzen heraus geschrieben wird, wird dieser Exploit von Angreifern benutzt, um das verwundbare Programm zum Absturz zu bringen. Und sogar Schadcode – der sogenannte Payload – kann hierdurch in das betroffene System eingefügt und ausgeführt werden.

Im Stack Segment werden lokale Funktionsvariablen abgelegt, welche zum Beispiel durch User-Eingaben gefüllt werden. Die Architektur des Stacks erlaubt es Angreifern, wichtige Adressen zu überschreiben. Wird die User-Eingabe nicht vom Programm abgefangen und überprüft, kann das Programm beeinflusst werden, so dass Fremdcode eingefügt werden kann.

In diesem Video Tutorial reverse engineere ich meinen Demo Code mit dem Programm Immunity Debugger und zeige, wie das Programm verarbeitet wird:
Wie werden Variablen im Stack verarbeitet und wie reagiert das Programm zur Laufzeit? Weiterlesen

Autor: Miriam Wiesner
Miriam Wiesner arbeitet seit Dezember 2013 für Proact Deutschland. Dort war sie zunächst als System Engineer für die internen Systeme verantwortlich. Aktuell ist sie als Consultant mit Fokus auf IT-Security tätig. Neben der Consulting-Tätigkeit führt sie IT-Sicherheit Audits und Penetrationstests durch, um Kundensysteme auf potentielle Schwachstellen zu prüfen. Vor ihrer Zeit bei teamix konnte sie bereits Erfahrungen als Systemadministrator sowie als Softwareentwickler sammeln.

Ransomware bereitet derzeit vielen Unternehmen schlaflose Nächte. Doch nun sind Decryption Codes im Internet aufgetaucht, um dem Spuk einiger Malware-Versionen ein Ende zu bereiten.

Wir zeigen Ihnen, wie Sie an die Keys kommen, um Ihre Daten wieder zu entschlüsseln!

Weiterlesen

Autor: Miriam Wiesner
Miriam Wiesner arbeitet seit Dezember 2013 für Proact Deutschland. Dort war sie zunächst als System Engineer für die internen Systeme verantwortlich. Aktuell ist sie als Consultant mit Fokus auf IT-Security tätig. Neben der Consulting-Tätigkeit führt sie IT-Sicherheit Audits und Penetrationstests durch, um Kundensysteme auf potentielle Schwachstellen zu prüfen. Vor ihrer Zeit bei teamix konnte sie bereits Erfahrungen als Systemadministrator sowie als Softwareentwickler sammeln.
Hinweis: Dieser Artikel bezieht sich auf die Betriebssysteme Windows 10 (KMS-Client) und Windows Server 2012 R2 (KMS-Host). Andere Versionen wurden beim Schreiben des Artikels nicht berücksichtigt.

Viele Firmen stehen vor einer neuen Herausforderung:
Sie möchten Windows 10 im Unternehmen bereit stellen und per KMS lizensieren.

Windows 10 erschien bereits Ende Juli 2015, Windows Server 2016 gibt es aktuell nur in der Testversion, welche für den Produktivbetrieb noch nicht geeignet ist.

Möchte man Windows 10 im Unternehmen einsetzen und per KMS-Host lizensieren, so läuft der KMS-Host höchstwahrscheinlich noch auf einem Windows Server 2012 R2 Betriebssystem. Was bei diesem Setup zu beachten ist, werde ich in diesem Artikel erklären.

Weiterlesen

Autor: Miriam Wiesner
Miriam Wiesner arbeitet seit Dezember 2013 für Proact Deutschland. Dort war sie zunächst als System Engineer für die internen Systeme verantwortlich. Aktuell ist sie als Consultant mit Fokus auf IT-Security tätig. Neben der Consulting-Tätigkeit führt sie IT-Sicherheit Audits und Penetrationstests durch, um Kundensysteme auf potentielle Schwachstellen zu prüfen. Vor ihrer Zeit bei teamix konnte sie bereits Erfahrungen als Systemadministrator sowie als Softwareentwickler sammeln.
Hinweis: Dieser Artikel bezieht sich auf die Betriebssysteme Windows 7 und Windows 8/8.1. Windows 10 wurde beim Schreiben des Artikels nicht berücksichtigt.

Wenn man Images erstellen möchte und Sysprep ausführt, kann es passieren, dass beim Neustart des Computers folgende Fehlermeldung angezeigt wird:

Der Computer wurde unerwartet neu gestartet oder ein unerwarteter Fehler ist aufgetreten. Die Windows-Installation kann nicht fortgesetzt werden. Klicken Sie auf "OK", um den Computer neu zu starten, und führen Sie die Installation dann erneut aus.

Nach einem Neustart des Computers erscheint immer und immer wieder eine Fehlermeldung, die den Start von Windows verhindert. Die Fehlermeldung rät zwar zu einer Neuinstallation, jedoch möchte man das System ungerne neu installieren, da man es bereits zur Image-Erstellung vorbereitet hatte.

In diesem Artikel zeige ich, wie man das Image rettet, ohne das System neu zu installieren. Weiterlesen

Autor: Miriam Wiesner
Miriam Wiesner arbeitet seit Dezember 2013 für Proact Deutschland. Dort war sie zunächst als System Engineer für die internen Systeme verantwortlich. Aktuell ist sie als Consultant mit Fokus auf IT-Security tätig. Neben der Consulting-Tätigkeit führt sie IT-Sicherheit Audits und Penetrationstests durch, um Kundensysteme auf potentielle Schwachstellen zu prüfen. Vor ihrer Zeit bei teamix konnte sie bereits Erfahrungen als Systemadministrator sowie als Softwareentwickler sammeln.

Eine Forschergruppe verschiedener Institutionen (unter anderem CNRS, Inria, Microsoft Research) hat einige Schwachstellen im TLS-Verfahren entdeckt, unter anderem Logjam. Durch Logjam ist es möglich, bei angreifbaren Verbindungen das Diffie-Hellman-Schlüsseltausch-Verfahren auf 512-Bit zu reduzieren.
Dadurch kann der eigentlich verschlüsselte Traffic von einem Man-in-the-middle Angreifer gelesen und verändert werden.
Weiterlesen

Autor: Miriam Wiesner
Miriam Wiesner arbeitet seit Dezember 2013 für Proact Deutschland. Dort war sie zunächst als System Engineer für die internen Systeme verantwortlich. Aktuell ist sie als Consultant mit Fokus auf IT-Security tätig. Neben der Consulting-Tätigkeit führt sie IT-Sicherheit Audits und Penetrationstests durch, um Kundensysteme auf potentielle Schwachstellen zu prüfen. Vor ihrer Zeit bei teamix konnte sie bereits Erfahrungen als Systemadministrator sowie als Softwareentwickler sammeln.