2212971

Alte Windows-Schwäche neu in Windows 10 und 8 entdeckt

03.08.2016 | 13:12 Uhr |

Eine im Grunde bereits seit 1997 bekannte Schwachstelle in Windows erfährt neue Aufmerksamkeit. Werden Benutzer auf eine Freigabe im Internet gelockt, kann dadurch ihr Benutzername und der Passwort-Hash an den Angreifer übermittelt werden.

Ein Schweizer Unternehmen, das unter dem Namen Perfect Privacy VPN-Dienste anbietet, geht mit einer Sicherheitswarnung an die Öffentlichkeit, die insbesondere Nutzer der neueren Windows-Version 8 und 10 beunruhigen könnte. Letztlich geht es um eine viele Jahre lang nicht als Sicherheitsproblem ernst genommenen Schwäche in Microsofts Implementierung des SMB-Protokolls, besser bekannt als Datei- und Druckerfreigabe. Dabei werden Benutzername und Passwort-Hash über das Netzwerk übertragen, wenn ein Benutzer versucht auf eine Freigabe zuzugreifen.

Soweit, so normal – wo ist das Problem? Mit einem Benutzernamen und einem Passwort kann man sich in aller Regel nicht einfach aus der Ferne auf dem PC des Benutzers einloggen. Doch seit Windows 8 kann man sich bei Windows auch mit einem Microsoft-Konto anmelden, statt mit einem rein lokalen Benutzerkonto. Die Anmeldedaten für dieses Konto gelten auch für diverse Microsoft-Dienste wie OneDrive, Outlook, Skype, Xbox Live, Office und so fort, falls der Benutzer diese Dienste mit diesem Konto nutzt. Wenn man dann noch davon ausgeht, dass es meist eine Sache von Minuten ist, aus einem Passwort-Hash das Passwort im Klartext zu erhalten, ahnt man, wo das Problem liegen könnte.

Ein Angreifer erzeugt eine Freigabe auf einem über das Internet zugänglichen Rechner und muss dann ein potenzielles Opfer dorthin locken. Das kann einfach dadurch geschehen, dass in eine Web-Seite eine Bilddatei eingebunden wird, die auf dieser Freigabe liegt. Benutzt das Opfer für den Webzugriff den Internet Explorer oder Edge, versuchen diese Browser sich mit den Kontodaten des Benutzers bei der Freigabe anzumelden (French Kiss Attack). Ähnlich sieht es aus, wenn mit Outlook eine Mail geöffnet wird, in der ein solches Bild verknüpft ist. Da der Passwort-Hash bei simplen Passwörtern binnen Sekunden zu knacken ist, kann der Angreifer mit diesen Anmeldedaten auf Microsoft-Dienste zugreifen und zum Beispiel vertrauliche Dateien aus OneDrive abziehen.

Im Prinzip ist das Grundproblem seit 1997 bekannt, als Aaron Spangler erstmals darauf hinwies. Doch so recht wollte das niemand als Sicherheitslücke ernst nehmen. Im letzten Jahr rief eine Gruppe um Jonathan Brossard (Salesforce.com) auf der Sicherheitskonferenz Black Hat USA das Thema wieder ins Bewusstsein der Öffentlichkeit. Die Forscher hatten über mehrere Monate mit dem Microsoft Security Response Center und anderen an der Sache gearbeitet und verfeinerte Angriffsmethoden ausgetüftelt. Nach Aussagen der Gruppe habe sie Microsoft sogar darin bestärkt, mit dem Problem und seinen Lösungsmöglichkeiten an die Öffentlichkeit zu gehen.

Da es sich nicht um eine der üblichen Sicherheitslücken handelt, die der Software-Hersteller durch ein Update beheben kann, muss eine Lösung anders aussehen. Im Wesentlichen ist die Lösung des Problems lange bekannt und weithin implementiert: eine gut konfigurierte Firewall (etwa im DSL-Router) filtert alle SMB-Pakete aus, die aus dem lokalen Netzwerk ins Internet gehen – die Ports 137, 138, 139 und 445 werden blockiert. Da jedoch Notebooks und andere Mobilgeräte auch außerhalb eines Firmen- oder Heimnetzwerks benutzt werden (bis hin zu öffentlichen WLAN-Hotspots), muss auch die Windows-Firewall entsprechend konfiguriert werden. Außerdem ist zu empfehlen lange, komplexe Passwörter zu verwenden. Das ist alles keineswegs neu, Sie sollten jedoch überprüfen, ob diese Maßnahmen auch in allen Einsatzszenarien (etwa eines Notebooks mit Windows 8.1 oder 10) greifen.

Für Privatanwender empfiehlt sich die Windows-Anmeldung mit einem lokalen Benutzerkonto. Das Microsoft-Konto sollte nur für Zugriffe auf Microsoft-Dienste benutzt werden. Das ist eine kleine Komforteinbuße, schützt jedoch vor dem beschriebenen missbräuchlichen Zugriff auf persönliche Daten. Wer denkt, weil er weder einen Microsoft-Browser noch Outlook benutzt, sei er nicht gefährdet, irrt leider. Brossard et.al. verweisen auf eine Untersuchung des Cylance Teams („Redirect to smb“), das ähnliche Probleme in diversen Programmen anderer Hersteller entdeckt hat. Die Liste reicht vom Adobe Reader über iTunes bis TeamViewer.

0 Kommentare zu diesem Artikel
2212971