Risky Business: Risky Business #802 -- Accessing internal Microsoft apps with your Hotmail creds

Der "Risky Business" Podcast beleuchtet aktuelle Cybersecurity-News mit Moderator Patrick Gray und Analyst Adam Boileau. Die Folge "CISA warns about the path from on-prem Exchange to the cloud" diskutiert kritische Exchange-Schwachstellen, Microsofts OAuth-Probleme, einen massiven US-Gerichtshack mit Kartellbeteiligung, Citrix-Exploits, KI-gestützte Schwachstellensuche und HTTP/1.1-Desync-Attacken. Die Sprecher:innen analysieren technische Details, politische Implikationen und die wachsende Bedrohung durch organisierte Kriminalität im digitalen Raum. ### Exchange-Schwachstelle erlaube Zugriff von On-Prem auf Cloud Eine kritische Lücke in Microsoft Exchange ermögliche es Angreifern, von lokalen Servern auf Cloud-Umgebungen zu wechseln. Wie Adam Boileau erklärt: "the account that is used to facilitate that in the cloud has way more privilege than it should do." Microsoft plane sogar, betroffene Features absichtlich zu deaktivieren, um Administratoren zum Patchen zu zwingen. ### Microsofts interne Apps seien durch OAuth-Fehler angreifbar Forscher Visha Bernard habe entdeckt, dass Microsofts interne Anwendungen über OAuth anfällig seien. Die Forschung zeige: "even Microsoft doesn't know how to use their own tooling... they even get it wrong on important internal things." Trotzdem habe Microsoft keine Bug-Bounty gezahlt. ### US-Gerichtshack: Kartelle sollen Zugriff auf gestohlene Daten haben Politico berichte, dass mexikanische Drogenkartelle möglicherweise Zugriff auf durch Hacks gestohlene Gerichtsdaten hätten. Die Sprecher:innen betonen: "everybody had a shell in these systems" und warnen vor realen Gefahren für Zeugen und Ermittler. ### KI finde echte Schwachstellen in DARPA-Challenge Beim DARPA AI Cyber Challenge hätten KI-Systeme nicht nur künstlich eingebaute Bugs gefunden, sondern auch echte Schwachstellen in Open-Source-Software entdeckt. Die Ergebnisse würden als Open Source veröffentlicht, was die Community stärke. ### HTTP/1.1 Desync-Attacken seien nicht zu reparieren James Kettles neue Forschung zu HTTP-Desync-Attacken komme zu dem Schluss: "there is no way to make this okay, except moving everything to HTTP 2". Die Probleme lägen strukturell im Protokoll begründet. ## Einordnung Die Folge zeigt das Profil eines professionellen Tech-Journalismus-Formats mit hoher Fachkompetenz. Gray und Boileau präsentieren komplexe Sicherheitsvorfälle anschaulich ohne Fachchinesisch zu verlieren. Besonders bemerkenswert ist die kritische Distanz zu Microsofts Sicherheitspraxis und die klare Benennung staatlicher Versäumnisse beim Gerichtshack. Die Diskussion bleibt sachlich, verzichtet auf Panikmache und bietet stattdessen kontextualisierte Einordnungen. Die Expertise der Sprecher:innen vermittelt Vertrauen, während die offene Anerkennung von Unsicherheiten ("we don't know") die journalistische Integrität stärkt. Die Vermischung von News und Sponsor-Interview ist transparent gekennzeichnet, wobei der Sponsorbeitrag technisch relevant bleibt. Hörempfehlung: Für alle, die tief in Cybersecurity stecken oder sich für kritische Analysen jenseits von PR-Statements interessieren – eine der fundiertesten Security-Newsquellen im englischsprachigen Raum.