Redirect to SMB 14.04.2015, 14:11 Uhr

Passwort-Klau in allen Windows-Versionen

Angreifer können durch "Redirect to SMB" Windows-Zugangsdaten aus Netzwerken abgreifen. Alle Windows-Versionen inklusive Windows 10 sowie Virenscanner bekannter Hersteller sind betroffen.
Omnipräsente Windows-Schwachstelle: Über die bekannte Sicherheitslücke "Redirect to SMB" lassen sich Zugangsdaten des Netzwerks von Windows PCs, Tablets oder Server abgreifen. Betroffen sollen alle Windows-Versionen einschliesslich der Preview von Windows 10 sein sowie zahlreiche Programme von Microsoft, Apple, Oracle und bekannten Antivirenherstellern. Das berichten Sicherheitsforscher von Cylance.
Die Schwachstelle "Redirect to SMB" ist bereits seit 1997 bekannt. Durch sie können Angreifer Windows-Systeme dazu bringen, eine Verbindung mit einem fremden und schadhaften SMB-Server herzustellen. Bei einem Anmeldeversuch mit Nutzernamen und Passwort können Angreifer diese Netzwerkdaten dann abgreifen.
In ihrem Experiment gingen die Forscher einen Schritt weiter und haben einen Server aufgesetzt, der auf eine gewöhnliche HTTP- und HTTPS-Anfrage eines Bildes einfach auf eine Datei-URL "file://" weitergeleitet hat. Dort startete dann der bereits beschriebene Anmeldeversuch des Betriebssystems, bei dem die Nutzerdaten gestohlen werden können.
Als Schwachstelle wurden in Windows vier Anwendungs-Interfaces (APIs) identifiziert, die eine Weiterleitung von HTTP/HTTPS auf SMB erlauben. Bekannte Software-Hersteller nutzen diese etwa um Updates vom Server abzufragen. Laut den Forscher kann hier durch Man-In-The-Middle-Attacken eine Weiterleitung auf einen vorbereiteten HTTP-Server erfolgen, der wiederum auf den SMB-Server weiterleitet. Dort haben Cyberkriminelle dann Zugriff auf die Anmeldedaten vom Windows-System.
Cylance listet folgende Anwendungen als betroffen (nicht ausschliesslich):
Cylance schreibt in seinem Bericht, dass Cyberkriminelle für einen erfolgreichen Angriff zumindest Zugriff auf Teile des Netzwerkverkehrs des Opfers haben müssen. Eine weitere Angriffsmöglichkeit sollen manipulierte Werbe-Ads bieten. Öffentliche WLAN-Netze seien ebenfalls gefährdet.
Die betroffenen Software-Hersteller wurden bereits informiert. Bis Microsoft ein Update veröffentlicht hat, sollten Windows-Nutzer gemäss den Sicherheitsforschern den ausgehenden Traffic der Ports TCP 139 und TCP 445 des lokalen Netzwerks zum WAN blockieren. Die Datenbank für Software-Schwachstellen Cert rät Entwicklern ausserdem sicherzustellen, dass ihre Software für Authentifizierungen nicht das Verfahren NTLM (NT LAN Manager) als Voreinstellung nutzt.




Das könnte Sie auch interessieren