Sicherheitsforscher ist es gelungen Anmeldedaten von Windows-Computern – die zu einer Active-Directory-Domäne gehören –, aus der Ferne zu stehlen. Dafür habe sie eine über zehn Jahre alte Sicherheitslücke im Netzwerkprotokoll Server Message Block (SMB) ausgenutzt. Bislang habe man sie nur einsetzen können, um Daten innerhalb eines lokalen Netzwerls zu entwenden, berichtet Computerworld.
Wie sich die Schwachstelle ausnutzen lässt, haben die Forscher auf der Konferenz Black Hat in Las Vegas demonstriert. Dafür muss ein Opfer nur eine manipulierte Website öffnen oder eine präparierte E-Mail in Outlook lesen. Auch über ein Video im Windows Media Player lassen sich die Anmeldedaten stehlen. Dem Bericht zufolge können sich Angreifer mit ihnen bei jedem Windows-Server anmelden, für den der Nutzer ein Konto hat – inklusive Cloud-Servern.
Windows-Rechner senden in einem Active-Directory-Netzwerk automatisch ihre Anmeldedaten, um auf Dateifreigaben, Exchange- oder SharePoint-Server zuzugreifen. Dies geschieht über das Authentifizierungsprotokoll NTLM Version 2 (NTLMv2). Es überträgt Computer- und Nutzernamen im Klartext sowie einen verschlüsselten Hash des Passworts.
Allerdings ignoriere Windows in bestimmten Fällen diese Einstellung. Das hätten die Sicherheitsforscher Jonathan Brossard und Hormazd Billimoria nun gezeigt. Stattdessen hätten sie den Browser dazu gebracht, im Hintergrund die Anmeldedaten für Active Directory preiszugeben, so Computerworld weiter. In einer Windows-DLL-Datei befindet sich die eigentliche Sicherheitslücke. Sie kommt nicht nur im Internet Explorer, sondern auch in anderen Anwendungen wie Outlook und Windows Media Player zum Einsatz, um auf URLs zuzugreifen. Die DLL-Datei wiederum frage zwar die Einstellungen für die Authentifizierung in der Registry ab, ignoriere sie aber.
Betroffen sind sämtliche Versionen von Windows und Internet Explorer – inklusive Windows 10 und dem Browser Edge. Es handle sich damit um den ersten Remote-Angriff auf Windows 10 und Edge, ergänzte Brossard.
Über die Funktion NTLM over HTTP, die für die Anbindung von Cloud-Ddiensten eingeführt worden sei, sei es den Forschern auch möglich gewesen, sich bei Servern außerhalb des lokalen Netzwerks des Nutzers anzumelden. Handele es sich bei dem entfernten Server um einen Exchange Server, dann könne ein Angreifer die gesamte Mailbox des Nutzers herunterladen, so Computerworld. Werde der Hash-Wert des Passworts geknackt, sei es sogar möglich, auf einen Remote-Desktop-Protocol-Server zuzugreifen.
Ein Microsoft-Sprecher räumte gegenüber Computerworld die Sicherheitslücke ein. Er empfahl, über die Windows-Firewall ausgehende SMB-Pakete zu blockieren. Brossard weist darauf hin, dass Mitarbeiter anschließend nicht mehr auf Cloud-Computing zugreifen können. Er rät stattdessen zu einer hostbasierten Filterung von SMB-Paketen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…
Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.
Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…