Sicherheitsforscher ist es gelungen Anmeldedaten von Windows-Computern – die zu einer Active-Directory-Domäne gehören –, aus der Ferne zu stehlen. Dafür habe sie eine über zehn Jahre alte Sicherheitslücke im Netzwerkprotokoll Server Message Block (SMB) ausgenutzt. Bislang habe man sie nur einsetzen können, um Daten innerhalb eines lokalen Netzwerls zu entwenden, berichtet Computerworld.
Wie sich die Schwachstelle ausnutzen lässt, haben die Forscher auf der Konferenz Black Hat in Las Vegas demonstriert. Dafür muss ein Opfer nur eine manipulierte Website öffnen oder eine präparierte E-Mail in Outlook lesen. Auch über ein Video im Windows Media Player lassen sich die Anmeldedaten stehlen. Dem Bericht zufolge können sich Angreifer mit ihnen bei jedem Windows-Server anmelden, für den der Nutzer ein Konto hat – inklusive Cloud-Servern.
Windows-Rechner senden in einem Active-Directory-Netzwerk automatisch ihre Anmeldedaten, um auf Dateifreigaben, Exchange- oder SharePoint-Server zuzugreifen. Dies geschieht über das Authentifizierungsprotokoll NTLM Version 2 (NTLMv2). Es überträgt Computer- und Nutzernamen im Klartext sowie einen verschlüsselten Hash des Passworts.
Allerdings ignoriere Windows in bestimmten Fällen diese Einstellung. Das hätten die Sicherheitsforscher Jonathan Brossard und Hormazd Billimoria nun gezeigt. Stattdessen hätten sie den Browser dazu gebracht, im Hintergrund die Anmeldedaten für Active Directory preiszugeben, so Computerworld weiter. In einer Windows-DLL-Datei befindet sich die eigentliche Sicherheitslücke. Sie kommt nicht nur im Internet Explorer, sondern auch in anderen Anwendungen wie Outlook und Windows Media Player zum Einsatz, um auf URLs zuzugreifen. Die DLL-Datei wiederum frage zwar die Einstellungen für die Authentifizierung in der Registry ab, ignoriere sie aber.
Betroffen sind sämtliche Versionen von Windows und Internet Explorer – inklusive Windows 10 und dem Browser Edge. Es handle sich damit um den ersten Remote-Angriff auf Windows 10 und Edge, ergänzte Brossard.
Über die Funktion NTLM over HTTP, die für die Anbindung von Cloud-Ddiensten eingeführt worden sei, sei es den Forschern auch möglich gewesen, sich bei Servern außerhalb des lokalen Netzwerks des Nutzers anzumelden. Handele es sich bei dem entfernten Server um einen Exchange Server, dann könne ein Angreifer die gesamte Mailbox des Nutzers herunterladen, so Computerworld. Werde der Hash-Wert des Passworts geknackt, sei es sogar möglich, auf einen Remote-Desktop-Protocol-Server zuzugreifen.
Ein Microsoft-Sprecher räumte gegenüber Computerworld die Sicherheitslücke ein. Er empfahl, über die Windows-Firewall ausgehende SMB-Pakete zu blockieren. Brossard weist darauf hin, dass Mitarbeiter anschließend nicht mehr auf Cloud-Computing zugreifen können. Er rät stattdessen zu einer hostbasierten Filterung von SMB-Paketen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.