Wiederauferstandene Zero-Day-Lücke erlaubt Diebstahl von Nutzernamen und Passwörtern
Das Sicherheitsunternehmen Cylance hat eine neue Variante einer alten Sicherheitslücke entdeckt, die theoretisch den Diebstahl von Nutzernamen und Passwörtern ermöglicht. Die Redirect to SMB genannte Schwachstelle findet sich unter anderem in sämtlichen Windows-Versionen, also auch der aktuellen Preview von Windows 10. Außerdem sind Internet Explorer, Windows Media Player, Excel 2010 und Microsofts Baseline Security Analyzer sowie Anwendungen von anderen Herstellern, darunter Adobe, Apple, Box, Oracle, Symantec und Teamviewer betroffen.
Der Sicherheitsforscher Aaron Spangler hatte bereits 1997 erstmals eine Schachstelle in Windows Server Message Block (SMB) beschrieben, die es Angreifern ermöglicht, Windows dazu zu bringen, sich bei einem von ihnen kontrollierten Server anzumelden. Eine mit dem Wort “File” beginnende URL veranlasste etwa den Internet Explorer, sich mit einem SMB-Server unter der in der URL angegebenen Adresse zu verbinden. Die URLs konnten wiederum in einem Bild, einem iFrame oder einer anderen durch den Browser aufgelösten Ressource versteckt werden.
Cylance hat diese Schwachstelle jetzt mit einem Verfahren zur Weiterleitung von HTTP-Anfragen kombiniert. “Wir haben einen HTTP-Server in Python erstellt, der jede Anfrage mit einem einfachen HTTP-302-Status-Code beantwortet und Clients an eine ‘file://URL’ weiterleitet”, heißt es in einem Blogbeitrag von Cylance. “Dadurch konnten wir bestätigten, dass eine ‘http://URL’ zu einem Authentifizierungsversuch des Betriebssystems führen könnte.”
Insgesamt vier verbreitete Windows-API-Funktionen sollen eine Weiterleitung von HTTP/HTTPS auf SMB erlauben. Erste Tests hätten bestätigt, dass sie von einer Vielzahl von Anwendungen genutzt werden, darunter auch Software-Updater. In Verbindung mit einer Man-in-the-Middle-Attacke könne ein Angreifer mithilfe der anfälligen Anwendungen eine Authentifizierung bei einem SMB-Server erzwingen und via HTTP oder auch HTTPS übertragene Daten abgreifen.
Nach eigenen Angaben hat Cylance alles in allem 31 betroffene Anwendungen ausfindig gemacht. Dazu zählen Adobe Reader, Apple QuickTime, Apple Software Update, Symantec Norton Security Scan, AVG Free, Bitdefender Free, Comodo Antivirus, Box Sync, Teamviewer und auch der Installer für das Java Development Kit 8 Update 31.
Die Forscher erwarten, dass die Lücke vorwiegend bei zielgerichteten Attacken ausgenutzt wird, da sie nur zum Einsatz kommen kann, wenn der Angreifer einen Teil des Systems seines Opfers bereits kompromittiert hat. Einfacher sei das jedoch in einem gemeinsam genutzten WLAN-Netzwerk. “Wir haben einen Angriff erfolgreich in einem Heimnetzwerk mit einem Nexus 7 getestet”, so die Forscher weiter.
“Microsoft hat das 1997 von Aaron Spangler gemeldete Problem nicht behoben. Wir hoffen, dass unsere Forschung Microsoft überzeugt, die Anfälligkeit erneut zu prüfen und die Authentifizierung mit nicht vertrauenswürdigen SMB-Servern zu deaktivieren”, schreibt Cylance-Mitarbeiter Brian Wallace.
Laut Microsoft handelt es sich bei dem von Cylance beschriebenen Verfahren nicht um eine neue Attacke. Auch das davon ausgehende Risiko klassifiziert der Konzern aus Redmond eher als gering. Damit diese Art des Cyber-Angriffs funktioniere, müssten zunächst verschiedene Voraussetzungen erfüllt werden. Beispielsweise müsse man einen Nutzer davon überzeugen, seine Anmeldedaten in eine gefälschte Website einzugeben. Dennoch empfiehlt Microsoft erneut, keine Links in E-Mails von unbekannten Absendern anzuklicken oder unsichere Websites zu besuchen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.