Forscher stehlen remote Zugangsdaten für Active Directory

Sicherheitsforscher haben einen Weg gefunden, mithilfe einer seit mehr als zehn Jahren bekannten Sicherheitslücke im Netzwerkprotokoll Server Message Block (SMB) aus der Ferne die Anmeldedaten von Windows-Computern zu stehlen, die zu einer Active-Directory-Domäne gehören. Wie Computerworld berichtet, war es bisher nur möglich, diese Anfälligkeit innerhalb eines lokalen Netzwerks auszunutzen.

Auf der Konferenz Black Hat in Las Vegas zeigten die Forscher nun, dass sie ein Opfer lediglich dazu verleiten müssen, eine speziell gestaltete Website zu öffnen oder E-Mail in Outlook zu lesen. Der Diebstahl der Anmeldedaten ist aber auch über ein im Windows Media Player zu öffnendes Video möglich. Die erbeuteten Anmeldedaten erlauben es dem Bericht zufolge dem Angreifer, sich bei jedem Windows-Server anzumelden, für den der Nutzer ein Konto hat – inklusive Cloud-Servern.

In einem Active-Directory-Netzwerk senden Windows-Rechner laut Computerworld automatisch ihre Anmeldedaten, um auf Dateifreigaben, Exchange- oder SharePoint-Server zuzugreifen. Dafür benutzen sie das Authentifizierungsprotokoll NTLM Version 2 (NTLMv2), das Computer- und Nutzername im Klartext und einen verschlüsselten Hash des Passworts überträgt.

2001 hatten Forscher den SMB Relay genannten Angriff entwickelt, um die von einem Windows-Rechner verschickten Anmeldedaten abzufangen und an einen von ihnen kontrollierten Server weiterzuleiten. Dieser hat laut den Forschern bisher aber nicht aus der Ferne funktioniert. Dafür sorgte eine unter anderem auch eine Einstellung im Internet Explorer, die ein automatisches Log-in nur in der Intranet-Zone zulässt.

Die Sicherheitsforscher Jonathan Brossard und Hormazd Billimoria hätten aber nun gezeigt, dass Windows diese Einstellung unter Umständen ignoriere. Stattdessen hätten sie den Browser dazu gebracht, im Hintergrund die Anmeldedaten für Active Directory preiszugeben, so Computerworld weiter. Der eigentliche Fehler stecke in einer Windows-DLL-Datei, die nicht nur der Internet Explorer, sondern auch andere Anwendungen wie Outlook und Windows Media Player verwendeten, um auf URLs zuzugreifen. Die DLL-Datei wiederum frage zwar die Einstellungen für die Authentifizierung in der Registry ab, ignoriere sie aber.

Davon betroffen sind alle unterstützten Versionen von Windows und Internet Explorer, inklusive Windows 10 und Microsofts neuem Browser Edge. Es handele sich damit um den ersten Remote-Angriff auf Windows 10 und Edge, ergänzte Brossard.

Über die Funktion NTLM over HTTP, die für die Anbindung von Clouddiensten eingeführt worden sei, sei es den Forschern auch möglich gewesen, sich bei Servern außerhalb des lokalen Netzwerks des Nutzers anzumelden. Handele es sich bei dem entfernten Server um einen Exchange Server, dann könne ein Angreifer die gesamte Mailbox des Nutzers herunterladen, so Computerworld. Werde der Hash-Wert des Passworts geknackt, sei es sogar möglich, auf einen Remote-Desktop-Protocol-Server zuzugreifen.

Ein Microsoft-Sprecher räumte gegenüber Computerworld die Sicherheitslücke ein. Er empfahl, über die Windows-Firewall ausgehende SMB-Pakete zu blockieren. Brossard weist darauf hin, dass Mitarbeiter anschließend nicht mehr auf Cloud-Computing zugreifen können. Er rät stattdessen zu einer hostbasierten Filterung von SMB-Paketen.

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

HIGHLIGHT

Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht

Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

11 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

12 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

19 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Tag ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago