In the first part of the blogpost we highlighted the detection capabilities and the resulting evasion options for Microsoft Defender for Identity (DfI).

Now in this second part we present some alternative detection possibilities for the defensive side to improve visibility and security, as well as the upgrade from DfI version 2.2 to DfI version 3.0.

You can find it on our website at https://cirosec.de/en/news/microsoft-defender-for-identity-evasions-in-2026-part-ii/.

Microsoft Defender for Identity (DfI) is one of Microsoft’s key solutions for detecting identity-based attacks in Active Directory environments - but how well does it hold up against a skilled attacker?

In this first part of a two-part blog post series, we dive into DfI’s detection capabilities for high-impact attacks such as shadow credentials, pass-the-cert, ESC8, and DCSync. Additionally, the blog post uncovers a spoofing and relaying vulnerability in DfI’s Network Name Resolution component that can be used to evade multiple alerts, and offers blue team perspectives on closing these gaps.

Find out more at https://cirosec.de/en/news/microsoft-defender-for-identity-evasions-in-2026-part-i/.

Angesichts des wachsenden Drucks durch Angriffe professioneller Ransomware-Gruppen steigt für Unternehmen und öffentliche Einrichtungen die Notwendigkeit, ihre Organisation widerstandsfähiger aufzustellen.

Ein zentraler Ansatz dafür sind Penetrationstests und weiterführende technische Sicherheitsüberprüfungen wie Innentäteranalysen oder Red Teaming.

Doch worin unterscheiden sich diese Methoden und für welche Zielgruppen eignet sich welche Prüfung?

Diese Fragen werden in unserem Webinar umfassend erläutert

Jetzt Anmelden unter: https://cirosec.de/news/pentesting-assumed-breach-red-teaming-tlpt/

Still fuzzing Host headers with gobuster or feroxbuster? You're likely missing hosts. Traditional vhost enumeration happens after the TLS handshake - by the time your HTTP request lands, the routing decision has already been made - during the TLS handshake, based on the SNI. Anything that happens during connection setup stays invisible to your fuzzer. And that's exactly where interesting hosts like to hide. SNItch closes that gap by forcing a fresh TLS handshake per candidate with the SNI set correctly, and feeding discoveries from crt.sh, PTR records, and certificate SANs back into the scan.

Our latest blog post walks through the technique and the tool SNItch: https://cirosec.de/blog/fuzzing-vhosts-with-snitch/

Unser Geschäftsführer Stefan Strobel ist gerade auf der ISX Conference in München. Dort hat er heute die Keynote zum Thema „Cybercrime 2026 – Bedrohungen, Erkennung und Schutz“ gehalten.

Anschließend hat er in einem Thinktank über das Thema „Die richtige Vorbereitung und Reaktion auf einen IT-Sicherheitsvorfall durch Malware und Ransomware“ gesprochen. Dabei hat er unter anderem folgende Fragen beantwortet:

• Wie bereitet man sich auf einen Sicherheitsvorfall vor?
• Welche Maßnahmen müssen ergriffen werden?
• Was ist die richtige Reaktion bei einem Ransomware-Angriff?

Er hat uns einige Eindrücke von der Veranstaltung geschickt.

In March 2026, cirosec identified an active malware campaign targeting developers, IT professionals, and power users who rely on popular open-source and productivity tools such as Joplin, PuTTY, WinSCP, KeePass, FileZilla, 7-Zip, and, more recently, Gemini CLI. The attackers cloned the official websites of these products, manipulated Bing search rankings to place their malicious copies above the legitimate results, and bundled a credential-stealer with genuine software installers. Because the real application is installed along with the malware, victims have little reason to suspect that anything went wrong.

Find out more about the infection path, the malware and the IOCs in our blog article https://cirosec.de/en/news/analysis-of-a-credential-stealer-malware-campaign-part-1/.

In diesem praxisorientierten Training lernen Sie die Grundlagen der IT- und Informationssicherheit kennen.

Profitieren Sie von der über 20-jährigen Erfahrung unseres Trainers, der Ihnen aktuelle und relevante Einblicke bietet.

Nach dem Training sind Sie in der Lage, zentrale Begriffe der IT-Sicherheit zu verstehen, Bedrohungen für Ihr Unternehmen realistisch einzuschätzen und passende Maßnahmen abzuleiten.

Sichern Sie sich jetzt Ihren Platz und legen Sie das Fundament für eine sichere IT! 💪🔒

https://cirosec.de/trainings/crashkurs-it-und-informationssicherheit/

#crashkurs #ITSicherheit #Informationssicherheit #Datenschutz #CyberSecurity #Bedrohungen #Angriffstechniken #SocialEngineering #Malware #Schutzstrategien #APTs #DDoS #ZeroTrust #Netzwerksicherheit #ISO27001

Unsere neue Podcastfolge ist da 🎊

In dieser Episode sprechen wir über Tabletop-Übungen: realitätsnahe Simulationen von Sicherheitsvorfällen, bei denen Prozesse, Kommunikation und Verantwortlichkeiten im Ernstfall getestet werden.

Fragen wie:

• Welche Vorbereitungen müssen im Vorfeld getroffen werden?
• Welche Szenarien eignen sich besonders gut?
• Was passiert bei einem Tabletop und für wen ist es geeignet?

…werden in dieser Folge von unseren Beratern Benni und Micha beantwortet. 🎧

Jetzt reinhören: https://cirosec.de/news/tabletop-uebungen/