Dies ist ein echter Sentinel Bericht gegen ein synthetisches Ziel. Schweregrad, Belege und Behebungsschritte sind in derselben klaren Sprache verfasst, der ein IT Generalist auch an einem Freitagnachmittag folgen kann.
Die Outlook Installation auf dem Ziel akzeptiert präparierte ms-exchange Links, die den NTLM Hash des Benutzers an einen vom Angreifer kontrollierten SMB Server ausleiten. Aktive Ausnutzung wurde in freier Wildbahn beobachtet. Öffentlicher Exploit Code ist verfügbar.
Beleg. Das Ziel antwortete auf eine Anfrage mit dem verwundbaren Outlook Header Muster und der Versionszeichenfolge Outlook/16.0.17328.
Behebung. Spielen Sie das kumulative Microsoft Update vom Februar 2024 ein. Blockieren Sie ausgehendes SMB an der Firewall als zusätzliche Schutzmassnahme. Prüfen Sie die jüngsten NTLM Authentifizierungsereignisse im Windows Security Log, um sicherzustellen, dass noch keine Anmeldedaten abgegriffen wurden.
Das HTTPS Zertifikat, das von mail.demo.example.ch ausgeliefert wird, ist am 12.03.2026 abgelaufen. Browser warnen Benutzer, dass die Verbindung nicht sicher ist. Die meisten modernen E-Mail Clients verweigern die Verbindung.
Beleg. openssl s_client lieferte ein notAfter Datum vom 12. März 2026 GMT zurück.
Behebung. Erneuern Sie das Zertifikat über den bestehenden ACME Workflow oder das Anbieterportal. Wenn die Seite kein HTTPS mehr benötigt, deaktivieren Sie den DNS Eintrag. Setzen Sie eine Kalendererinnerung 30 Tage vor dem nächsten Ablauf.
Der Host akzeptiert Passwortauthentifizierung über SSH. Automatisierte Brute Force Versuche werden mit Sicherheit folgen.
Beleg. Der SSH Banner kündigt PasswordAuthentication an, und der Daemon akzeptiert Passwortversuche.
Behebung. Setzen Sie PasswordAuthentication no in /etc/ssh/sshd_config. Verteilen Sie SSH Schlüssel an die Operatoren, die sich noch anmelden. Starten Sie den Daemon neu. Bestätigen Sie mit einem Testlogin, dass die schlüsselbasierte Authentifizierung funktioniert, bevor Sie die letzte Passwortsitzung beenden.
Ein echter Sentinel Bericht setzt sich mit jedem weiteren Befund fort, einschliesslich informativer Punkte und einer abschliessenden Zusammenfassung der nächsten umsetzbaren Schritte.