Sicherheitsforscher haben einen Weg gefunden, mithilfe einer seit mehr als zehn Jahren bekannten Sicherheitslücke im Netzwerkprotokoll Server Message Block (SMB) aus der Ferne die Anmeldedaten von Windows-Computern zu stehlen, die zu einer Active-Directory-Domäne gehören. Wie Computerworld berichtet, war es bisher nur möglich, diese Anfälligkeit innerhalb eines lokalen Netzwerks auszunutzen.
In einem Active-Directory-Netzwerk senden Windows-Rechner laut Computerworld automatisch ihre Anmeldedaten, um auf Dateifreigaben, Exchange- oder SharePoint-Server zuzugreifen. Dafür benutzen sie das Authentifizierungsprotokoll NTLM Version 2 (NTLMv2), das Computer- und Nutzername im Klartext und einen verschlüsselten Hash des Passworts überträgt.
2001 hatten Forscher den SMB Relay genannten Angriff entwickelt, um die von einem Windows-Rechner verschickten Anmeldedaten abzufangen und an einen von ihnen kontrollierten Server weiterzuleiten. Dieser hat laut den Forschern bisher aber nicht aus der Ferne funktioniert. Dafür sorgte eine unter anderem auch eine Einstellung im Internet Explorer, die ein automatisches Log-in nur in der Intranet-Zone zulässt.
Die Sicherheitsforscher Jonathan Brossard und Hormazd Billimoria hätten aber nun gezeigt, dass Windows diese Einstellung unter Umständen ignoriere. Stattdessen hätten sie den Browser dazu gebracht, im Hintergrund die Anmeldedaten für Active Directory preiszugeben, so Computerworld weiter. Der eigentliche Fehler stecke in einer Windows-DLL-Datei, die nicht nur der Internet Explorer, sondern auch andere Anwendungen wie Outlook und Windows Media Player verwendeten, um auf URLs zuzugreifen. Die DLL-Datei wiederum frage zwar die Einstellungen für die Authentifizierung in der Registry ab, ignoriere sie aber.
Davon betroffen sind alle unterstützten Versionen von Windows und Internet Explorer, inklusive Windows 10 und Microsofts neuem Browser Edge. Es handele sich damit um den ersten Remote-Angriff auf Windows 10 und Edge, ergänzte Brossard.
Über die Funktion NTLM over HTTP, die für die Anbindung von Clouddiensten eingeführt worden sei, sei es den Forschern auch möglich gewesen, sich bei Servern außerhalb des lokalen Netzwerks des Nutzers anzumelden. Handele es sich bei dem entfernten Server um einen Exchange Server, dann könne ein Angreifer die gesamte Mailbox des Nutzers herunterladen, so Computerworld. Werde der Hash-Wert des Passworts geknackt, sei es sogar möglich, auf einen Remote-Desktop-Protocol-Server zuzugreifen.
Ein Microsoft-Sprecher räumte gegenüber Computerworld die Sicherheitslücke ein. Er empfahl, über die Windows-Firewall ausgehende SMB-Pakete zu blockieren. Brossard weist darauf hin, dass Mitarbeiter anschließend nicht mehr auf Cloud-Computing zugreifen können. Er rät stattdessen zu einer hostbasierten Filterung von SMB-Paketen.
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…