Forscher entwenden remote Windows-Zugangsdaten

Sicherheitsforscher ist es gelungen Anmeldedaten von Windows-Computern – die zu einer Active-Directory-Domäne gehören –, aus der Ferne zu stehlen. Dafür habe sie eine über zehn Jahre alte Sicherheitslücke im Netzwerkprotokoll Server Message Block (SMB) ausgenutzt. Bislang habe man sie nur einsetzen können, um Daten innerhalb eines lokalen Netzwerls zu entwenden, berichtet Computerworld.

Wie sich die Schwachstelle ausnutzen lässt, haben die Forscher auf der Konferenz Black Hat in Las Vegas demonstriert. Dafür muss ein Opfer nur eine manipulierte Website öffnen oder eine präparierte E-Mail in Outlook lesen. Auch über ein Video im Windows Media Player lassen sich die Anmeldedaten stehlen. Dem Bericht zufolge können sich Angreifer mit ihnen bei jedem Windows-Server anmelden, für den der Nutzer ein Konto hat – inklusive Cloud-Servern.

Windows-Rechner senden in einem Active-Directory-Netzwerk automatisch ihre Anmeldedaten, um auf Dateifreigaben, Exchange- oder SharePoint-Server zuzugreifen. Dies geschieht über das Authentifizierungsprotokoll NTLM Version 2 (NTLMv2). Es überträgt Computer- und Nutzernamen im Klartext sowie einen verschlüsselten Hash des Passworts.

Den SMB Relay genannten Angriff hatten Forscher bereits 2001 entwickelt. Er kann die von einem Windows-Rechner verschickten Anmeldedaten abfangen und sie an einen bestimmten Server weiterleiten. Aus der Ferne konnte der Angriff bislang nicht eingesetzt werden. Dafür sorgte eine unter anderem auch eine Einstellung im Internet Explorer, die ein automatisches Log-in nur in der Intranet-Zone zulässt.

Allerdings ignoriere Windows in bestimmten Fällen diese Einstellung. Das hätten die Sicherheitsforscher Jonathan Brossard und Hormazd Billimoria nun gezeigt. Stattdessen hätten sie den Browser dazu gebracht, im Hintergrund die Anmeldedaten für Active Directory preiszugeben, so Computerworld weiter. In einer Windows-DLL-Datei befindet sich die eigentliche Sicherheitslücke. Sie kommt nicht nur im Internet Explorer, sondern auch in anderen Anwendungen wie Outlook und Windows Media Player zum Einsatz, um auf URLs zuzugreifen. Die DLL-Datei wiederum frage zwar die Einstellungen für die Authentifizierung in der Registry ab, ignoriere sie aber.

Betroffen sind sämtliche Versionen von Windows und Internet Explorer – inklusive Windows 10 und dem Browser Edge. Es handle sich damit um den ersten Remote-Angriff auf Windows 10 und Edge, ergänzte Brossard.

Über die Funktion NTLM over HTTP, die für die Anbindung von Cloud-Ddiensten eingeführt worden sei, sei es den Forschern auch möglich gewesen, sich bei Servern außerhalb des lokalen Netzwerks des Nutzers anzumelden. Handele es sich bei dem entfernten Server um einen Exchange Server, dann könne ein Angreifer die gesamte Mailbox des Nutzers herunterladen, so Computerworld. Werde der Hash-Wert des Passworts geknackt, sei es sogar möglich, auf einen Remote-Desktop-Protocol-Server zuzugreifen.

Ein Microsoft-Sprecher räumte gegenüber Computerworld die Sicherheitslücke ein. Er empfahl, über die Windows-Firewall ausgehende SMB-Pakete zu blockieren. Brossard weist darauf hin, dass Mitarbeiter anschließend nicht mehr auf Cloud-Computing zugreifen können. Er rät stattdessen zu einer hostbasierten Filterung von SMB-Paketen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

21 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

1 Tag ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

1 Tag ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

2 Tagen ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

2 Tagen ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

2 Tagen ago