Active Directory & Identity

Fresh security updates resolve critical flaws in Azure, Windows, Dynamics 365, and the SSO Plugin for Jira & Confluence. The post Microsoft Patches 137 Vulnerabilities appeared first on SecurityWeek.

Resetting a password doesn't always remove attackers from Active Directory. Specops Software explains how cached credentials and Kerberos tickets can keep attackers authenticated after a reset. [...]

Ein Hacker, der einen Zugang zu einem Bahnnetzwerk gefährdet hatte, wurde festgenommen. Eine neue Linux-Backdoor namens PamDOORa wurde entdeckt, die sich ins System einschleust und unberechtigten Zugriff ermöglicht. Der US-Kongress diskutiert den Einbau von 72-Stunden-Patch-Zyklen zur Verbesserung der Sicherheitsreaktionen. Zudem nutzt ein Malware-Verbrecher Windows Phone Link, um OTPs zu stehlen, während eine geheime Operation die Eurasische Drohnenindustrie als Ziel hat.

Cybersecurity researchers have disclosed details of a new Linux backdoor named PamDOORa that's being advertised on the Rehub Russian cybercrime forum for $1,600 by a threat actor called "darkworm." The backdoor is designed as a Pluggable Authentication Module (PAM)-based post-exploitation toolkit...

Details have emerged about a new, unpatched local privilege escalation (LPE) vulnerability impacting the Linux kernel. Dubbed Dirty Frag, it has been described as a successor to Copy Fail (CVE-2026-31431, CVSS score: 7.8), a recently disclosed LPE flaw impacting the Linux kernel that has since come...

Unternehmen riskieren unbewachte OAuth-Token mit unendlicher Gültigkeit, die durch Verbindungen von Arbeitern zu AI-Tools und Produktivitätsapps entstehen. Diese Tokens sind für Angreifer wertvoll, da sie keine Perimeterraumkontrolle passieren müssen und oft auch Multi-Factor Authentication umgehen können. Unternehmen sollten dringend eine Überprüfung ihrer OAuth-Token durchführen und automatisierte Ablaufverwaltungssysteme implementieren, um diese Sicherheitslücke zu schließen.

Unter anderem eine kritische Schwachstelle gefährdet die Dateiübertragungssoftware MOVEit Automation.

Ein neuer Angriffstyp namens ConsentFix v3 wird in Hackerforen diskutiert und zielt auf Microsoft Azure ab. Die Attacke nutzt automatisierte OAuth-Abuse, um sich unberechtigten Zugriff auf Ressourcen zu verschaffen. Benutzer sollten ihre Berechtigungen regelmäßig überprüfen und verdächtige Anwendungen sofort deaktivieren.

Zwei Cybercrime-Gruppen, Cordial Spider und Snarky Spider, führen schnelle SaaS-Angriffe durch, bei denen sie Voicemail-Pishing (Vishing) und Missbrauch von Single-Sign-On-Funktionen einsetzen. Diese Angriffe ermöglichen es den Angreifern, schnell und mit geringem Spurenverlauf Daten zu stehlen. Betroffen sind Unternehmen, die SaaS-Dienste nutzen. Unternehmen sollten strenge Sicherheitsmaßnahmen für Voicemail-Systeme und SSO-Funktionalitäten implementieren sowie regelmäßige Sicherheitskontrollen durchführen.

Microsoft hat eine Schwachstelle im Microsoft Entra ID System gefixt, die durch ein administrativer Rollenproblem für künstliche Intelligenz-Agenten verursacht wurde. Diese Schwäche ermöglichte es Angreifern, Privilegien zu erhöhen und Identitäten zu übernehmen. Benutzer sollten sicherstellen, dass sie auf das neueste Sicherheitspatch aktualisiert sind, um diese potenzielle Bedrohung zu neutralisieren.

Ein neues Privilegiensteigerungsverfahren namens PhantomRPC wurde in der Windows Remote Procedure Call (RPC) Architektur identifiziert, das es Prozessen mit Verwandlungsrechten ermöglicht, ihre Berechtigungen auf SYSTEM-Ebene zu erhöhen. Dieser Sicherheitsfehler betrifft möglicherweise alle Windows-Versionen und basiert auf einer architektonischen Schwäche, die unzählige Angriffspfade erlaubt. Da Microsoft bisher keine Patch zur Verfügung gestellt hat, sollten Administratoren nach Möglichkeit alternative防御措施和检测策略，以帮助缓解此类攻击。

Unit 42 hat entdeckt, dass mehragentige KI-Systeme in der Lage sind, autonom Angriffe auf Cloud-Umgebungen durchzuführen. Unternehmen sollten kritische Einblicke und wichtige Lektionen für proaktive Sicherheitsmaßnahmen nutzen, um solche Bedrohungen effektiv zu bekämpfen.

Ein Mitarbeiter von Vercel hat durch seinen Einsatz eines künstlichen Intelligenz-Werkzeugs zu einem Datenleck geführt, das OAuth-Tokens gestohlen hat. Diese Tokens sind nun ein neues Angriffsvektor und ermöglichen Lateralbewegung innerhalb des Netzwerks. Benutzer sollten ihre OAuth-Token regelmäßig überprüfen und sicherstellen, dass sie nur an vertrauenswürdige Werkzeuge ausgegeben werden.

Die US-Küstenwache hat neue Cybersicherheitsregeln für den Seehandel eingeführt, die Unternehmen zur Schutzplanung für ihre OT-Systeme verpflichten und unabhängige Drittanbieterprüfungen vorsehen. Zudem wird eine kombinierte Rolle zwischen OT-Sicherheit und IT-Sicherheit empfohlen. CISOs sollten diese Anforderungen als Leitfaden zur Verbesserung ihrer eigenen Sicherheitsstrategien nutzen.

CISA is aware of malicious cyber activity targeting endpoint management systems of U.S. organizations based on the March 11, 2026 cyberattack against U.S.-based medical technology firm Stryker Corporation, which affected their Microsoft environment.1 To defend against similar malicious cyber...

Introduction Phishing-resistant multi-factor authentication (MFA), particularly FIDO2/WebAuthn, has become the industry standard for protecting high-value credentials. Technologies such as YubiKeys and Windows Hello for Business rely on strong cryptographic binding to specific domains, neutralizing...

TLDR This post shows how to achieve a full authentication bypass in the Ruby and PHP SAML ecosystem by exploiting several parser-level inconsistencies: including attribute pollution, namespace confusi

Advisory at a Glance Executive Summary CISA began incident response efforts at a U.S. federal civilian executive branch (FCEB) agency following the detection of potential malicious activity identified through security alerts generated by the agency’s endpoint detection and response (EDR) tool. CISA...

Summary The Cybersecurity and Infrastructure Security Agency (CISA) and U.S. Coast Guard (USCG) are issuing this Cybersecurity Advisory to present findings from a recent CISA and USCG hunt engagement. The purpose of this advisory is to highlight identified cybersecurity issues, thereby informing...

Summary Note: This joint Cybersecurity Advisory is part of an ongoing #StopRansomware effort to publish advisories for network defenders that detail various ransomware variants and ransomware threat actors. These #StopRansomware advisories include recently and historically observed tactics,...

Summary The Federal Bureau of Investigation (FBI) and the Cybersecurity and Infrastructure Security Agency (CISA) are releasing this joint advisory to disseminate known tactics, techniques, and procedures (TTPs) and indicators of compromise (IOCs) associated with threat actors deploying the LummaC2...

Executive Summary This joint cybersecurity advisory (CSA) highlights a Russian state-sponsored cyber campaign targeting Western logistics entities and technology companies. This includes those involved in the coordination, transport, and delivery of foreign assistance to Ukraine. Since 2022,...

Introduction In this post, we’ll show precisely how to chain round-trip attacks and namespace confusion to achieve unauthenticated admin access on GitLab Enterprise by exploiting the ruby-saml library

Last year Johan Carlsson discovered you could conceal payloads inside the credentials part of the URL . This was fascinating to me especially because the payload is not actually visible in the URL in

Have you ever found an HTTP desync vulnerability that seemed impossible to exploit due to its complicated constraints? In this blogpost we will explore a new exploitation technique that can be used to