Zero-Day-Lücke gefährdet Technical Preview von Windows 10

Eine alte Sicherheitslücke gefährdet sämtliche Windows-Versionen – auch die aktuelle Technical Preview von Windows 10. Die Sicherheitsfirma Cylance hat eine neue Variante der alten Schwachstelle entdeckt. Angreifer könnten darüber Nutzernamen und Passwörter stehlen. Die “Redirect to SMB” genannte Anfälligkeit betrifft auch Internet Explorer, Windows Media Player, Excel 2010 und Microsofts Baseline Security Analyzer sowie Anwendungen von anderen Anbietern wie Adobe, Apple, Box, Oracle, Symantec und Teamviewer.

Bereits 1997 hatte der Sicherheitsforscher Aaron Spangler eine Lücke in Windows Server Message Block (SMB) beschrieben. Sie ermöglicht Kriminellen, Windows dazu zu bringen, sich bei einem von ihnen kontrollierten Server anzumelden. Eine mit dem Wort “File” beginnende URL brachte Internet Explorer dazu, sich mit einem SMB-Server an der in der URL angegebenen Adresse zu verbinden. Die Angreifer konnten die manipulierten URLs in einem Bild, einem iFrame oder einen anderen Ressource verstecken.

Die Lücke hat Cylance nun mit einem Verfahren zur Weiterleitung von HTTP-Anfragen kombiniert. “Wir haben einen HTTP-Server in Python erstellt, der jede Anfrage mit einem einfachen HTTP-302-Status-Code beantwortet und Clients an eine ‘file://URL’ weiterleitet”, heißt es in einem Blogeintrag von Cylance. “Dadurch konnten wir bestätigten, dass eine ‘http://URL’ zu einem Authentifizierungsversuch des Betriebssystems führen könnte.”

Adobe, Apple und Symantec betroffen

Für eine Weiterleitung von HTTP/HTTPS auf SMB sollen insgesamt vier gebräuchliche Windows-API-Funktionen verantwortlich sein. Bei ersten Tests hätten Forscher entdeckt, dass eine Vielzahl von Anwendungen diese nutzen. Dazu zählt unter anderem Software-Updater. Angreifer könnten in Kombination mit einer Man-in-the-Middle-Attacke und der anfälligen Anwendung eine Authentifizierung bei einem SMB-Server erzwingen und per HTTP oder auch HTTPS übertragene Daten abfangen.

Wie Cylance mitteilt, habe es 31 betroffene Anwendungen entdeckt. Darunter sind Adobe Reader, Apple QuickTime, Apple Software Update, Symantec Norton Security Scan, AVG Free, Bitdefender Free, Comodo Antivirus, Box Sync, TeamViewer und auch der Installer für das Java Development Kit 8 Update 31.

Microsoft stuft Risiko als gering ein

Die Forscher glauben, dass die Lücke vor allem bei zielgerichteten Angriffen zum Einsatz kommt. Denn Angreifer können sie nur ausnutzen, wenn sie schon einen Teil des Systems des Opfers kompromittiert haben. Bei einer gemeinsam genutzten WLAN-Verbindung sei es allerdings einfacher. “Wir haben einen Angriff erfolgreich in einem Heimnetzwerk mit einem Nexus 7 getestet”, so die Forscher weiter.

“Microsoft hat das 1997 von Aaron Spangler gemeldete Problem nicht behoben. Wir hoffen, dass unsere Forschung Microsoft überzeugt, die Anfälligkeit erneut zu prüfen und die Authentifizierung mit nicht vertrauenswürdigen SMB-Servern zu deaktivieren”, schreibt Cylance-Mitarbeiter Brian Wallace.

Microsoft zufolge handelt es sich bei dem von Cylance beschriebenen Verfahren nicht um einen neuen Angriff. Auch das davon ausgehende Risiko stuft der Softwarekonzern als eher gering ein. Damit diese Art der Cyber-Attacke funktioniere, müssten verschiedene Bedingungen erfüllt werden, wie beispielsweise einen Nutzer davon zu überzeugen, seine Anmeldedaten in eine gefälschte Website einzugeben. Trotzdem rät Microsoft erneut dazu, keine Links in E-Mails von unbekannten Absendern anzuklicken oder unsichere Websites zu besuchen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago