Zero-Day-Lücke gefährdet Technical Preview von Windows 10

Eine alte Sicherheitslücke gefährdet sämtliche Windows-Versionen – auch die aktuelle Technical Preview von Windows 10. Die Sicherheitsfirma Cylance hat eine neue Variante der alten Schwachstelle entdeckt. Angreifer könnten darüber Nutzernamen und Passwörter stehlen. Die “Redirect to SMB” genannte Anfälligkeit betrifft auch Internet Explorer, Windows Media Player, Excel 2010 und Microsofts Baseline Security Analyzer sowie Anwendungen von anderen Anbietern wie Adobe, Apple, Box, Oracle, Symantec und Teamviewer.

Bereits 1997 hatte der Sicherheitsforscher Aaron Spangler eine Lücke in Windows Server Message Block (SMB) beschrieben. Sie ermöglicht Kriminellen, Windows dazu zu bringen, sich bei einem von ihnen kontrollierten Server anzumelden. Eine mit dem Wort “File” beginnende URL brachte Internet Explorer dazu, sich mit einem SMB-Server an der in der URL angegebenen Adresse zu verbinden. Die Angreifer konnten die manipulierten URLs in einem Bild, einem iFrame oder einen anderen Ressource verstecken.

Die Lücke hat Cylance nun mit einem Verfahren zur Weiterleitung von HTTP-Anfragen kombiniert. “Wir haben einen HTTP-Server in Python erstellt, der jede Anfrage mit einem einfachen HTTP-302-Status-Code beantwortet und Clients an eine ‘file://URL’ weiterleitet”, heißt es in einem Blogeintrag von Cylance. “Dadurch konnten wir bestätigten, dass eine ‘http://URL’ zu einem Authentifizierungsversuch des Betriebssystems führen könnte.”

Adobe, Apple und Symantec betroffen

Für eine Weiterleitung von HTTP/HTTPS auf SMB sollen insgesamt vier gebräuchliche Windows-API-Funktionen verantwortlich sein. Bei ersten Tests hätten Forscher entdeckt, dass eine Vielzahl von Anwendungen diese nutzen. Dazu zählt unter anderem Software-Updater. Angreifer könnten in Kombination mit einer Man-in-the-Middle-Attacke und der anfälligen Anwendung eine Authentifizierung bei einem SMB-Server erzwingen und per HTTP oder auch HTTPS übertragene Daten abfangen.

Wie Cylance mitteilt, habe es 31 betroffene Anwendungen entdeckt. Darunter sind Adobe Reader, Apple QuickTime, Apple Software Update, Symantec Norton Security Scan, AVG Free, Bitdefender Free, Comodo Antivirus, Box Sync, TeamViewer und auch der Installer für das Java Development Kit 8 Update 31.

Microsoft stuft Risiko als gering ein

Die Forscher glauben, dass die Lücke vor allem bei zielgerichteten Angriffen zum Einsatz kommt. Denn Angreifer können sie nur ausnutzen, wenn sie schon einen Teil des Systems des Opfers kompromittiert haben. Bei einer gemeinsam genutzten WLAN-Verbindung sei es allerdings einfacher. “Wir haben einen Angriff erfolgreich in einem Heimnetzwerk mit einem Nexus 7 getestet”, so die Forscher weiter.

“Microsoft hat das 1997 von Aaron Spangler gemeldete Problem nicht behoben. Wir hoffen, dass unsere Forschung Microsoft überzeugt, die Anfälligkeit erneut zu prüfen und die Authentifizierung mit nicht vertrauenswürdigen SMB-Servern zu deaktivieren”, schreibt Cylance-Mitarbeiter Brian Wallace.

Microsoft zufolge handelt es sich bei dem von Cylance beschriebenen Verfahren nicht um einen neuen Angriff. Auch das davon ausgehende Risiko stuft der Softwarekonzern als eher gering ein. Damit diese Art der Cyber-Attacke funktioniere, müssten verschiedene Bedingungen erfüllt werden, wie beispielsweise einen Nutzer davon zu überzeugen, seine Anmeldedaten in eine gefälschte Website einzugeben. Trotzdem rät Microsoft erneut dazu, keine Links in E-Mails von unbekannten Absendern anzuklicken oder unsichere Websites zu besuchen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

8 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

9 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

1 Tag ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

1 Tag ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

1 Tag ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

2 Tagen ago