Zero-Day-Lücke gefährdet Technical Preview von Windows 10

Sicherheit (Bild: Shutterstock)

Die Schwachstelle basiert auf einem ungepatchten Fehler in Windows Server Message Block der bereits seit 1997 bekannt ist. Davon sind sämtliche Versionen von Microsofts Betriebssystem betroffen. Angreifer könnten eine Anmeldung an einem SMB-Server erzwingen und Anmeldedaten stehlen.

Eine alte Sicherheitslücke gefährdet sämtliche Windows-Versionen – auch die aktuelle Technical Preview von Windows 10. Die Sicherheitsfirma Cylance hat eine neue Variante der alten Schwachstelle entdeckt. Angreifer könnten darüber Nutzernamen und Passwörter stehlen. Die “Redirect to SMB” genannte Anfälligkeit betrifft auch Internet Explorer, Windows Media Player, Excel 2010 und Microsofts Baseline Security Analyzer sowie Anwendungen von anderen Anbietern wie Adobe, Apple, Box, Oracle, Symantec und Teamviewer.

Bereits 1997 hatte der Sicherheitsforscher Aaron Spangler eine Lücke in Windows Server Message Block (SMB) beschrieben. Sie ermöglicht Kriminellen, Windows dazu zu bringen, sich bei einem von ihnen kontrollierten Server anzumelden. Eine mit dem Wort “File” beginnende URL brachte Internet Explorer dazu, sich mit einem SMB-Server an der in der URL angegebenen Adresse zu verbinden. Die Angreifer konnten die manipulierten URLs in einem Bild, einem iFrame oder einen anderen Ressource verstecken.

Die Lücke hat Cylance nun mit einem Verfahren zur Weiterleitung von HTTP-Anfragen kombiniert. “Wir haben einen HTTP-Server in Python erstellt, der jede Anfrage mit einem einfachen HTTP-302-Status-Code beantwortet und Clients an eine ‘file://URL’ weiterleitet”, heißt es in einem Blogeintrag von Cylance. “Dadurch konnten wir bestätigten, dass eine ‘http://URL’ zu einem Authentifizierungsversuch des Betriebssystems führen könnte.”

Security in Firmen (Bild: Shutterstock/Mikko Lemola)Adobe, Apple und Symantec betroffen

Für eine Weiterleitung von HTTP/HTTPS auf SMB sollen insgesamt vier gebräuchliche Windows-API-Funktionen verantwortlich sein. Bei ersten Tests hätten Forscher entdeckt, dass eine Vielzahl von Anwendungen diese nutzen. Dazu zählt unter anderem Software-Updater. Angreifer könnten in Kombination mit einer Man-in-the-Middle-Attacke und der anfälligen Anwendung eine Authentifizierung bei einem SMB-Server erzwingen und per HTTP oder auch HTTPS übertragene Daten abfangen.

Wie Cylance mitteilt, habe es 31 betroffene Anwendungen entdeckt. Darunter sind Adobe Reader, Apple QuickTime, Apple Software Update, Symantec Norton Security Scan, AVG Free, Bitdefender Free, Comodo Antivirus, Box Sync, TeamViewer und auch der Installer für das Java Development Kit 8 Update 31.

Microsoft stuft Risiko als gering ein

Die Forscher glauben, dass die Lücke vor allem bei zielgerichteten Angriffen zum Einsatz kommt. Denn Angreifer können sie nur ausnutzen, wenn sie schon einen Teil des Systems des Opfers kompromittiert haben. Bei einer gemeinsam genutzten WLAN-Verbindung sei es allerdings einfacher. “Wir haben einen Angriff erfolgreich in einem Heimnetzwerk mit einem Nexus 7 getestet”, so die Forscher weiter.

“Microsoft hat das 1997 von Aaron Spangler gemeldete Problem nicht behoben. Wir hoffen, dass unsere Forschung Microsoft überzeugt, die Anfälligkeit erneut zu prüfen und die Authentifizierung mit nicht vertrauenswürdigen SMB-Servern zu deaktivieren”, schreibt Cylance-Mitarbeiter Brian Wallace.

Microsoft zufolge handelt es sich bei dem von Cylance beschriebenen Verfahren nicht um einen neuen Angriff. Auch das davon ausgehende Risiko stuft der Softwarekonzern als eher gering ein. Damit diese Art der Cyber-Attacke funktioniere, müssten verschiedene Bedingungen erfüllt werden, wie beispielsweise einen Nutzer davon zu überzeugen, seine Anmeldedaten in eine gefälschte Website einzugeben. Trotzdem rät Microsoft erneut dazu, keine Links in E-Mails von unbekannten Absendern anzuklicken oder unsichere Websites zu besuchen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.