Forscher stehlen remote Zugangsdaten für Active Directory

Sicherheitsforscher haben einen Weg gefunden, mithilfe einer seit mehr als zehn Jahren bekannten Sicherheitslücke im Netzwerkprotokoll Server Message Block (SMB) aus der Ferne die Anmeldedaten von Windows-Computern zu stehlen, die zu einer Active-Directory-Domäne gehören. Wie Computerworld berichtet, war es bisher nur möglich, diese Anfälligkeit innerhalb eines lokalen Netzwerks auszunutzen.

Auf der Konferenz Black Hat in Las Vegas zeigten die Forscher nun, dass sie ein Opfer lediglich dazu verleiten müssen, eine speziell gestaltete Website zu öffnen oder E-Mail in Outlook zu lesen. Der Diebstahl der Anmeldedaten ist aber auch über ein im Windows Media Player zu öffnendes Video möglich. Die erbeuteten Anmeldedaten erlauben es dem Bericht zufolge dem Angreifer, sich bei jedem Windows-Server anzumelden, für den der Nutzer ein Konto hat – inklusive Cloud-Servern.

In einem Active-Directory-Netzwerk senden Windows-Rechner laut Computerworld automatisch ihre Anmeldedaten, um auf Dateifreigaben, Exchange- oder SharePoint-Server zuzugreifen. Dafür benutzen sie das Authentifizierungsprotokoll NTLM Version 2 (NTLMv2), das Computer- und Nutzername im Klartext und einen verschlüsselten Hash des Passworts überträgt.

2001 hatten Forscher den SMB Relay genannten Angriff entwickelt, um die von einem Windows-Rechner verschickten Anmeldedaten abzufangen und an einen von ihnen kontrollierten Server weiterzuleiten. Dieser hat laut den Forschern bisher aber nicht aus der Ferne funktioniert. Dafür sorgte eine unter anderem auch eine Einstellung im Internet Explorer, die ein automatisches Log-in nur in der Intranet-Zone zulässt.

Die Sicherheitsforscher Jonathan Brossard und Hormazd Billimoria hätten aber nun gezeigt, dass Windows diese Einstellung unter Umständen ignoriere. Stattdessen hätten sie den Browser dazu gebracht, im Hintergrund die Anmeldedaten für Active Directory preiszugeben, so Computerworld weiter. Der eigentliche Fehler stecke in einer Windows-DLL-Datei, die nicht nur der Internet Explorer, sondern auch andere Anwendungen wie Outlook und Windows Media Player verwendeten, um auf URLs zuzugreifen. Die DLL-Datei wiederum frage zwar die Einstellungen für die Authentifizierung in der Registry ab, ignoriere sie aber.

Davon betroffen sind alle unterstützten Versionen von Windows und Internet Explorer, inklusive Windows 10 und Microsofts neuem Browser Edge. Es handele sich damit um den ersten Remote-Angriff auf Windows 10 und Edge, ergänzte Brossard.

Über die Funktion NTLM over HTTP, die für die Anbindung von Clouddiensten eingeführt worden sei, sei es den Forschern auch möglich gewesen, sich bei Servern außerhalb des lokalen Netzwerks des Nutzers anzumelden. Handele es sich bei dem entfernten Server um einen Exchange Server, dann könne ein Angreifer die gesamte Mailbox des Nutzers herunterladen, so Computerworld. Werde der Hash-Wert des Passworts geknackt, sei es sogar möglich, auf einen Remote-Desktop-Protocol-Server zuzugreifen.

Ein Microsoft-Sprecher räumte gegenüber Computerworld die Sicherheitslücke ein. Er empfahl, über die Windows-Firewall ausgehende SMB-Pakete zu blockieren. Brossard weist darauf hin, dass Mitarbeiter anschließend nicht mehr auf Cloud-Computing zugreifen können. Er rät stattdessen zu einer hostbasierten Filterung von SMB-Paketen.

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

HIGHLIGHT

Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht

Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago