Sicherheitsforscher ist es gelungen Anmeldedaten von Windows-Computern – die zu einer Active-Directory-Domäne gehören –, aus der Ferne zu stehlen. Dafür habe sie eine über zehn Jahre alte Sicherheitslücke im Netzwerkprotokoll Server Message Block (SMB) ausgenutzt. Bislang habe man sie nur einsetzen können, um Daten innerhalb eines lokalen Netzwerls zu entwenden, berichtet Computerworld.
Wie sich die Schwachstelle ausnutzen lässt, haben die Forscher auf der Konferenz Black Hat in Las Vegas demonstriert. Dafür muss ein Opfer nur eine manipulierte Website öffnen oder eine präparierte E-Mail in Outlook lesen. Auch über ein Video im Windows Media Player lassen sich die Anmeldedaten stehlen. Dem Bericht zufolge können sich Angreifer mit ihnen bei jedem Windows-Server anmelden, für den der Nutzer ein Konto hat – inklusive Cloud-Servern.
Windows-Rechner senden in einem Active-Directory-Netzwerk automatisch ihre Anmeldedaten, um auf Dateifreigaben, Exchange- oder SharePoint-Server zuzugreifen. Dies geschieht über das Authentifizierungsprotokoll NTLM Version 2 (NTLMv2). Es überträgt Computer- und Nutzernamen im Klartext sowie einen verschlüsselten Hash des Passworts.
Allerdings ignoriere Windows in bestimmten Fällen diese Einstellung. Das hätten die Sicherheitsforscher Jonathan Brossard und Hormazd Billimoria nun gezeigt. Stattdessen hätten sie den Browser dazu gebracht, im Hintergrund die Anmeldedaten für Active Directory preiszugeben, so Computerworld weiter. In einer Windows-DLL-Datei befindet sich die eigentliche Sicherheitslücke. Sie kommt nicht nur im Internet Explorer, sondern auch in anderen Anwendungen wie Outlook und Windows Media Player zum Einsatz, um auf URLs zuzugreifen. Die DLL-Datei wiederum frage zwar die Einstellungen für die Authentifizierung in der Registry ab, ignoriere sie aber.
Betroffen sind sämtliche Versionen von Windows und Internet Explorer – inklusive Windows 10 und dem Browser Edge. Es handle sich damit um den ersten Remote-Angriff auf Windows 10 und Edge, ergänzte Brossard.
Über die Funktion NTLM over HTTP, die für die Anbindung von Cloud-Ddiensten eingeführt worden sei, sei es den Forschern auch möglich gewesen, sich bei Servern außerhalb des lokalen Netzwerks des Nutzers anzumelden. Handele es sich bei dem entfernten Server um einen Exchange Server, dann könne ein Angreifer die gesamte Mailbox des Nutzers herunterladen, so Computerworld. Werde der Hash-Wert des Passworts geknackt, sei es sogar möglich, auf einen Remote-Desktop-Protocol-Server zuzugreifen.
Ein Microsoft-Sprecher räumte gegenüber Computerworld die Sicherheitslücke ein. Er empfahl, über die Windows-Firewall ausgehende SMB-Pakete zu blockieren. Brossard weist darauf hin, dass Mitarbeiter anschließend nicht mehr auf Cloud-Computing zugreifen können. Er rät stattdessen zu einer hostbasierten Filterung von SMB-Paketen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.