Sicherheitsforscher ist es gelungen Anmeldedaten von Windows-Computern – die zu einer Active-Directory-Domäne gehören –, aus der Ferne zu stehlen. Dafür habe sie eine über zehn Jahre alte Sicherheitslücke im Netzwerkprotokoll Server Message Block (SMB) ausgenutzt. Bislang habe man sie nur einsetzen können, um Daten innerhalb eines lokalen Netzwerls zu entwenden, berichtet Computerworld.
Wie sich die Schwachstelle ausnutzen lässt, haben die Forscher auf der Konferenz Black Hat in Las Vegas demonstriert. Dafür muss ein Opfer nur eine manipulierte Website öffnen oder eine präparierte E-Mail in Outlook lesen. Auch über ein Video im Windows Media Player lassen sich die Anmeldedaten stehlen. Dem Bericht zufolge können sich Angreifer mit ihnen bei jedem Windows-Server anmelden, für den der Nutzer ein Konto hat – inklusive Cloud-Servern.
Windows-Rechner senden in einem Active-Directory-Netzwerk automatisch ihre Anmeldedaten, um auf Dateifreigaben, Exchange- oder SharePoint-Server zuzugreifen. Dies geschieht über das Authentifizierungsprotokoll NTLM Version 2 (NTLMv2). Es überträgt Computer- und Nutzernamen im Klartext sowie einen verschlüsselten Hash des Passworts.
Allerdings ignoriere Windows in bestimmten Fällen diese Einstellung. Das hätten die Sicherheitsforscher Jonathan Brossard und Hormazd Billimoria nun gezeigt. Stattdessen hätten sie den Browser dazu gebracht, im Hintergrund die Anmeldedaten für Active Directory preiszugeben, so Computerworld weiter. In einer Windows-DLL-Datei befindet sich die eigentliche Sicherheitslücke. Sie kommt nicht nur im Internet Explorer, sondern auch in anderen Anwendungen wie Outlook und Windows Media Player zum Einsatz, um auf URLs zuzugreifen. Die DLL-Datei wiederum frage zwar die Einstellungen für die Authentifizierung in der Registry ab, ignoriere sie aber.
Betroffen sind sämtliche Versionen von Windows und Internet Explorer – inklusive Windows 10 und dem Browser Edge. Es handle sich damit um den ersten Remote-Angriff auf Windows 10 und Edge, ergänzte Brossard.
Über die Funktion NTLM over HTTP, die für die Anbindung von Cloud-Ddiensten eingeführt worden sei, sei es den Forschern auch möglich gewesen, sich bei Servern außerhalb des lokalen Netzwerks des Nutzers anzumelden. Handele es sich bei dem entfernten Server um einen Exchange Server, dann könne ein Angreifer die gesamte Mailbox des Nutzers herunterladen, so Computerworld. Werde der Hash-Wert des Passworts geknackt, sei es sogar möglich, auf einen Remote-Desktop-Protocol-Server zuzugreifen.
Ein Microsoft-Sprecher räumte gegenüber Computerworld die Sicherheitslücke ein. Er empfahl, über die Windows-Firewall ausgehende SMB-Pakete zu blockieren. Brossard weist darauf hin, dass Mitarbeiter anschließend nicht mehr auf Cloud-Computing zugreifen können. Er rät stattdessen zu einer hostbasierten Filterung von SMB-Paketen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…
KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.
Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.
Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.
Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…
Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.