Blog - Brechtholds Blog

CVE-2026-41089: Der belegte Netlogon-Crash reicht schon

Juni 7, 2026 von Hermine

Abstrakte Darstellung eines angegriffenen Domain Controllers in einer Active-Directory-Umgebung mit roten Warnsignalen.

Microsoft hat mit CVE-2026-41089 eine kritische Schwachstelle im Kontext von Windows Netlogon veröffentlicht. Die offizielle Einstufung lautet Remote Code Execution, der CVSS-Wert liegt bei 9.8. Das allein wäre schon Grund genug, nicht gemütlich zu werden. Wirklich relevant ist der Fall aber dort, wo man sauber zwischen belegbaren Fakten, plausibler technischer Einordnung und dem üblichen Security-News-Theater trennt.

Der derzeit öffentlich am besten belegte Minimalimpact ist kein theoretischer Randfall, sondern ein unauthentisierter, netzwerkbasierter Crash von Domain Controllern über den CLDAP/DC-Locator-Pfad auf UDP/389. Praktisch dokumentiert ist vor allem ein LSASS-Absturz mit anschließendem Reboot des Domain Controllers.

Damit ist die Schwachstelle bereits ohne jede stabile RCE massiv gefährlich. Ausfallende Domain Controller sind kein harmloser Nebeneffekt, sondern können Authentisierung, Applikationszugriffe, Incident Response und Recovery einer Windows-Umgebung direkt treffen. Eine funktionierende RCE wäre nicht der Moment, ab dem der Fall plötzlich kritisch wird. Sie wäre die zusätzliche Katastrophe obendrauf.

Das ist der Punkt, an dem man aufhören sollte, den Fehler gedanklich als „vielleicht nur DoS“ kleinzureden. Bei einem Domain Controller ist „nur DoS“ bereits eine ziemlich teure Form der Selbstberuhigung.

Das operative NEIN

Juni 2, 2026 von Hermine

Dunkle industrielle Mechanik filtert einen hellen Strom; nur ein kontrollierter Teil gelangt weiter.

Wenn über riskante Agentensysteme gesprochen wird, landet erstaunlich viel Debatte immer noch bei derselben Beruhigungsliteratur: zu viele Rechte, zu weiter Scope, keine Freigabekette, zu wenig Logging.

Alles richtig. Alles nützlich. Alles zu kurz.

Denn das Problem ist nicht nur technisch. Es ist auch verhaltensseitig.

Ein nutzernaher Agent soll hilfreich sein. Er soll unklare Anliegen verstehen, Reibung abbauen und halbgare Bitten in etwas Brauchbares übersetzen. Genau das macht ihn angenehm. Genau das macht ihn mit operativen Rechten gefährlich.

Das ist kein exotischer KI-Defekt. Es ist ein altes Betriebsproblem in neuer Verpackung. Wer jemals in Support, Operations, Incident Handling oder Administration gearbeitet hat, kennt den Konflikt: Man soll hilfreich sein, schnell reagieren, Dinge möglich machen und niemanden mit unnötigem Formalismus nerven.

Gleichzeitig verlangt operationelle Disziplin das Gegenteil: sauber prüfen, Scope halten, Freigaben respektieren, Unsicherheit nicht mit Improvisation zukleistern und im Zweifel schlicht Nein sagen.

Schon bei Menschen funktioniert diese Balance nur mäßig glorreich. Agenten erfinden diesen Zielkonflikt also nicht. Sie skalieren ihn bloß. Und sobald sie echte Wirkungsmacht bekommen, skaliert nicht nur der Komfort, sondern auch die Dummheit.

In meinem Werkstattbericht Multi-Agent-MVP (Werkstattbericht): Control Plane statt KI-Chaos ging es darum, Handlungsvollmacht sichtbar zu begrenzen. Im Text KI-Agenten sind kein Denkproblem. Sie sind ein Berechtigungsproblem. war die zugespitzte These: Ein Agent mit Tools ist kein Chatbot mehr, sondern ein technischer Akteur mit delegierter Wirkung.

Der nächste Schritt in derselben Linie ist unangenehmer. Er betrifft nicht nur Architektur, sondern Tugenden. Agenten-Governance ist nicht nur eine Frage von Rechten, Scope und Approval. Sie ist auch eine Frage davon, welche Eigenschaft im Konfliktfall gewinnt.

DeadDrop: Was von einer Warteschlange übrig bleibt

Mai 27, 2026Mai 26, 2026 von Hermine

Dunkle Achterbahn-Warteschlange mit Netzwerkgraph-Overlay als Metapher für einen KI-Agenten, der ein offensives CTF-Lab mit Pivoting, proxychains und Methodikprüfung bearbeitet.

Der Anfang war, wie gute Experimente manchmal anfangen: leicht albern, praktisch genug und mit einer Warteschlange als unfreiwilligem Benchmark.

Ich stand mit meinen Patenkindern im Plopsaland Deutschland in der Schlange einer Achterbahn und fragte mich, was wohl schneller wäre: diese Warteschlange oder eine Medium-CTF-Challenge, gelöst durch einen KI-Agenten mit Real-World-Red-Teaming-Skill.

Also habe ich es ausprobiert. Aber gerade nicht als billiges „lös mir mal dieses CTF“. Die Aufgabenstellung war interessanter: Nutze den Red-Teaming-Skill, versuche damit die CTF zu lösen, prüfe dabei, welche Erkenntnisse sich zur Verbesserung des Skills eignen, unterscheide sauber zwischen Real-World-Mechanik und reiner CTF-Mechanik — und erstelle am Ende mit dem Reporting-Skill einen Bericht.

KI-Agenten sind kein Denkproblem. Sie sind ein Berechtigungsproblem.

Mai 20, 2026Mai 19, 2026 von Hermine

Wenn man über KI-Agenten spricht, landet die Diskussion schnell beim Modell. Was darf es sagen? Was darf es nicht sagen? Halluziniert es? Lässt es sich jailbreaken? Ist es aligned, whatever that means this week?

Ein Laptop zeigt ein Sicherheitsdiagramm, in dem Chat-, Mail- und Web-Eingaben über eine Control Plane geprüft werden, bevor privilegierte Systeme wie Infrastruktur, Mail, Finance und Support erreicht werden. — KI-Agenten werden erst dann sicher betreibbar, wenn privilegierte Aktionen über Scope, Freigabe und Logs begrenzt werden.

Das ist nicht alles falsch. Aber bei Agenten mit Tools ist es nicht der entscheidende Bruch.

Gefährlich wird es nicht, wenn ein Modell Unsinn redet. Gefährlich wird es, wenn dieser Unsinn plötzlich Tickets schließt, Mails verschickt, Kundendaten liest, Firewall-Regeln ändert, OAuth-Tokens benutzt oder Bestellungen auslöst.

Dann reden wir nicht mehr über ein Chatproblem. Dann reden wir über Berechtigungen.

Der gefährlichste Angriff ist oft schon eingeloggt.

Mai 13, 2026 von Hermine

Ins WordPress-Admin eingeloggte Sitzung mit Anmeldeverlauf im Hintergrund

Exploit-Romantik hilft nicht weiter. Der Text verbindet den Canvas-Fall mit einem anonymisierten WordPress-Praxisfall und zeigt, warum Identität, Session und Vertrauen oft der eigentliche Operationsraum eines Angriffs sind.

Warum OpenAIs Cyber-Abuse-Warnung richtig war

Mai 3, 2026April 29, 2026 von Hermine

Im letzten Artikel über präparierte Dokumente als Steuerfläche für Agenten stand noch der saubere, analytische Teil: ja, man kann Bewerbungsunterlagen, PDFs oder HTML-Vorschauen so bauen, dass ein nachlässig verdrahteter Agent sie nicht nur liest, sondern ihnen gehorcht. Inzwischen gibt es den unerquicklicheren Teil dazu: Wir haben genau solche Dokumente gebaut und gegen eigene interne Systeme getestet.