Mit dem 18 Jahre alten Windows-Fehler können Angreifer Anmeldeinformationen sammeln

Bild: Cylance

Diese Woche haben Sicherheitsforscher von Cylance eine Sicherheitsanfälligkeit in Server Message Block (SMB) aufgedeckt, mit der Angreifer Benutzeranmeldeinformationen von jedem Windows-Computer, -Server oder -Tablet abrufen können, einschließlich derer, auf denen die Windows 10-Technologievorschau ausgeführt wird.

Die Ausführung des Angriffs ist relativ trivial. Der Benutzer muss eine schädliche "file: //" - URL eingeben, auf einen ähnlich schädlichen Link klicken oder ein Programm verwenden, das automatisch versuchen könnte, einen solchen Link zu laden, z. B. ein Miniaturbild für a verknüpftes Bild auf einer böswillig codierten Seite. Der Zugriff auf diesen Link führt zu einem Authentifizierungsversuch von Windows. In Kombination mit einem Man-in-the-Middle-Angriff kann dieser Exploit zum Erfassen von Benutzeranmeldeinformationen verwendet werden.

Laut Brian Wallace von Cylance:

Wie wirkt sich das auf Sie aus?

Als Endbenutzer wird Sie dies wahrscheinlich nicht so sehr betreffen. Es ist jedoch weiterhin ratsam, ausgehenden Datenverkehr auf TCP 139 und 445 in Ihrer Firewall zu blockieren.

Das eigentliche Risiko besteht für Benutzer in einem Unternehmensintranet. Wenn Benutzeranmeldeinformationen abgerufen und Kennwörter geknackt werden können, kann der Angreifer auf freigegebene Dateien zugreifen. Das Missbrauchspotenzial für SMB ist sehr hoch, da Malware, die SMB-Verbindungen ausnutzt, bei dem weit verbreiteten Angriff auf Sony Pictures Entertainment im Dezember 2014 verwendet wurde.

Die von diesem Exploit betroffenen Programme

Da mehrere Windows-API-Funktionen für diesen Exploit anfällig sind, sind eine Vielzahl von Programmen - insbesondere solche mit einem selbstaktualisierenden Mechanismus oder einem Dienstprogramm zur Verwendungsberichterstattung - für diesen Exploit anfällig. Cylance berichtet, dass Microsoft-Programme, die für diesen Exploit anfällig sind, Windows Media Player, Excel 2010 und Microsoft Baseline Security Analyzer sind. Programme von Drittanbietern, die die anfälligen Windows-API-Aufrufe verwenden, sind Adobe Reader, Apple Software Update, Box Sync, Github für Windows, AVG Free, Comodo Antivirus, BitDefender Free und Symantec Norton Security Scan.

Als Man-in-the-Middle-Angriff ist das Ausnutzen dieser Sicherheitsanfälligkeit durch Browser-Injection oder einen böswilligen Router oder DNS-Server möglich. Cylance schlägt vor, dass URL-Vorschauen in einigen Programmen sowie böswillig gestaltete Dokumente für den Exploit verwendet werden können auch. Wichtig ist, dass für diese Sicherheitsanfälligkeit keine bewusste Beteiligung des Endbenutzers erforderlich ist, da beispielsweise unerwünschte Ad-Server verwendet werden können, um den Exploit zum Sammeln von Benutzeranmeldeinformationen durchzuführen.

Wann wird ein Fix verfügbar sein?

Wenn Sie keine SMB-Funktionalität benötigen, blockieren Sie am besten ausgehenden Datenverkehr auf TCP 139 und 445 in Ihrer Firewall. Wenn Sie auf einen offiziellen Fix von Microsoft warten, warten Sie darauf, enttäuscht zu werden.

Dieses Problem ist strukturell identisch mit einer Sicherheitsanfälligkeit, die der Sicherheitsforscher Aaron Spangler vor 18 Jahren in Windows 95 und NT 4.0 gemeldet hat. Aus diesem Grund besteht ein Microsoft-Vertreter darauf, dass dieses Problem nicht neu ist, und scheint die Art und die Details der Sicherheitsanfälligkeit auf der Grundlage dieser Aussage in einem CNET-Artikel falsch zu verstehen:

Um es noch einmal zu wiederholen: Laut dem Whitepaper von Cylance muss der Benutzer keine Informationen eingeben.

Sind diese Anmeldeinformationen verschlüsselt?

Glücklicherweise lautet die Antwort auf diese Frage ja - nur nicht besonders gut. Nach dem ersten Bericht von Spangler im Jahr 1997 wurde die Verschlüsselungsmethode in SMB in einen Algorithmus namens NetNTLMv2 geändert. Dies hat den Vorteil, dass es für 1998 sicher war und für Regenbogentische nicht schwach ist, da es mit zwei Salzen erzeugt wurde.

Cylance verweist auf oclHashcat, ein kostenloses GPU-beschleunigtes Tool zum Knacken von Passwörtern. Für den verwendeten Algorithmus, eine Instanz mit acht AMD R9 290X-GPUs, würde ein Brute-Force-Angriff weniger als 9, 5 Stunden dauern, um "jedes achtstellige Passwort zu erraten, das aus Buchstaben (Groß- und Kleinbuchstaben) und Zahlen besteht", stellt jedoch fest, dass dies a ist Last-Resort-Methode.

Was ist deine Ansicht?

Ist die Reaktion und der Umgang von Microsoft mit einer 18 Jahre alten Sicherheitsanfälligkeit problematisch? Wie implementiert Ihre Organisation den Freigabezugriff auf Dateien? Verlassen Sie sich immer noch auf SMB oder wurde Ihre Organisation auf Cloud-basierte Ersetzungen wie Google Drive for Business oder einen CMIS-Handler wie CmisSync migriert? Erzählen Sie uns in den Kommentaren von der ECM-Strategie Ihres Unternehmens.

Lesen Sie auch

  • Windows-Sicherheitslücke könnte zu Anmeldediebstahl führen, behaupten Forscher (ZDNet)
  • Windows Hello bringt biometrische Sicherheit in Windows 10
  • Datenverletzungen können weniger kosten als die Sicherheit, um sie zu verhindern
  • Download: Stellenbeschreibung - Spezialist für Identitätszugriffsverwaltung (Tech Pro Research)

Hinweis: TechRepublic, Tech Pro Research, CNET und ZDNet sind CBS Interactive-Eigenschaften.

Cybersecurity Insider Newsletter

Stärken Sie die IT-Sicherheitsabwehr Ihres Unternehmens, indem Sie sich über die neuesten Nachrichten, Lösungen und Best Practices zur Cybersicherheit auf dem Laufenden halten. Lieferung dienstags und donnerstags

Heute anmelden

© Copyright 2020 | mobilegn.com