Zero-Day-Lücke gefährdet Technical Preview von Windows 10

Eine alte Sicherheitslücke gefährdet sämtliche Windows-Versionen – auch die aktuelle Technical Preview von Windows 10. Die Sicherheitsfirma Cylance hat eine neue Variante der alten Schwachstelle entdeckt. Angreifer könnten darüber Nutzernamen und Passwörter stehlen. Die “Redirect to SMB” genannte Anfälligkeit betrifft auch Internet Explorer, Windows Media Player, Excel 2010 und Microsofts Baseline Security Analyzer sowie Anwendungen von anderen Anbietern wie Adobe, Apple, Box, Oracle, Symantec und Teamviewer.

Bereits 1997 hatte der Sicherheitsforscher Aaron Spangler eine Lücke in Windows Server Message Block (SMB) beschrieben. Sie ermöglicht Kriminellen, Windows dazu zu bringen, sich bei einem von ihnen kontrollierten Server anzumelden. Eine mit dem Wort “File” beginnende URL brachte Internet Explorer dazu, sich mit einem SMB-Server an der in der URL angegebenen Adresse zu verbinden. Die Angreifer konnten die manipulierten URLs in einem Bild, einem iFrame oder einen anderen Ressource verstecken.

Die Lücke hat Cylance nun mit einem Verfahren zur Weiterleitung von HTTP-Anfragen kombiniert. “Wir haben einen HTTP-Server in Python erstellt, der jede Anfrage mit einem einfachen HTTP-302-Status-Code beantwortet und Clients an eine ‘file://URL’ weiterleitet”, heißt es in einem Blogeintrag von Cylance. “Dadurch konnten wir bestätigten, dass eine ‘http://URL’ zu einem Authentifizierungsversuch des Betriebssystems führen könnte.”

Adobe, Apple und Symantec betroffen

Für eine Weiterleitung von HTTP/HTTPS auf SMB sollen insgesamt vier gebräuchliche Windows-API-Funktionen verantwortlich sein. Bei ersten Tests hätten Forscher entdeckt, dass eine Vielzahl von Anwendungen diese nutzen. Dazu zählt unter anderem Software-Updater. Angreifer könnten in Kombination mit einer Man-in-the-Middle-Attacke und der anfälligen Anwendung eine Authentifizierung bei einem SMB-Server erzwingen und per HTTP oder auch HTTPS übertragene Daten abfangen.

Wie Cylance mitteilt, habe es 31 betroffene Anwendungen entdeckt. Darunter sind Adobe Reader, Apple QuickTime, Apple Software Update, Symantec Norton Security Scan, AVG Free, Bitdefender Free, Comodo Antivirus, Box Sync, TeamViewer und auch der Installer für das Java Development Kit 8 Update 31.

Microsoft stuft Risiko als gering ein

Die Forscher glauben, dass die Lücke vor allem bei zielgerichteten Angriffen zum Einsatz kommt. Denn Angreifer können sie nur ausnutzen, wenn sie schon einen Teil des Systems des Opfers kompromittiert haben. Bei einer gemeinsam genutzten WLAN-Verbindung sei es allerdings einfacher. “Wir haben einen Angriff erfolgreich in einem Heimnetzwerk mit einem Nexus 7 getestet”, so die Forscher weiter.

“Microsoft hat das 1997 von Aaron Spangler gemeldete Problem nicht behoben. Wir hoffen, dass unsere Forschung Microsoft überzeugt, die Anfälligkeit erneut zu prüfen und die Authentifizierung mit nicht vertrauenswürdigen SMB-Servern zu deaktivieren”, schreibt Cylance-Mitarbeiter Brian Wallace.

Microsoft zufolge handelt es sich bei dem von Cylance beschriebenen Verfahren nicht um einen neuen Angriff. Auch das davon ausgehende Risiko stuft der Softwarekonzern als eher gering ein. Damit diese Art der Cyber-Attacke funktioniere, müssten verschiedene Bedingungen erfüllt werden, wie beispielsweise einen Nutzer davon zu überzeugen, seine Anmeldedaten in eine gefälschte Website einzugeben. Trotzdem rät Microsoft erneut dazu, keine Links in E-Mails von unbekannten Absendern anzuklicken oder unsichere Websites zu besuchen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

2 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

3 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

4 Tagen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

4 Tagen ago

Klinikum Frankfurt an der Oder treibt Digitalisierung voran

Interdisziplinäres Lenkungsgremium mit Experten aus den Bereichen IT, Medizin, Pflege und Verwaltung sorgt für die…

5 Tagen ago