Sicherheitsexperten erbeuten Active-Directory-Zugangsdaten aus der Ferne

Sicherheitsspezialisten haben offenbar einen Weg gefunden, mittels einer seit 14 Jahren bekannten Sicherheitslücke im Netzwerkprotokoll Server Message Block (SMB) die Zugangsdaten von Windows-Rechnern, die zu einer Active-Directory-Domäne gehören, aus der Ferne zu erbeuten. Bisher war es nur möglich, diese Schwachstelle innerhalb eines lokalen Netzwerks auszunutzen, wie Computerworld berichtet.

Auf der Konferenz Black Hat in Las Vegas zeigten die Forscher jetzt, dass sie ein Opfer lediglich dazu verleiten müssen, eine speziell präparierte Website zu öffnen oder entsprechende E-Mails in Outlook zu lesen. Der Diebstahl der Anmeldedaten ist jedoch auch über ein im Windows Media Player zu öffnendes Video möglich. Die entwendeten Anmeldedaten erlauben es dem Angreifer laut Bericht, sich bei jedem Windows-Server anzumelden, für den der Nutzer einen Account hat. Das schließt auch Cloud-Server ein.

Computerworld zufolge senden Windows-Rechner in einem Active-Directory-Netzwerk automatisch ihre Anmeldedaten, um auf Dateifreigaben, Exchange- oder SharePoint-Server zugreifen zu können. Hierzu nutzen sie das Authentifizierungsprotokoll NTLM Version 2 (NTLMv2), welches Computer- und Nutzername im Klartext sowie einen verschlüsselten Hash des Passworts überträgt.

Bereits im Jahr 2001 hatten Forscher die SMB Relay genannte Attacke entwickelt, um die von einem Windows-Rechner versendeten Anmeldedaten abzufangen und an einen von ihnen kontrollierten Server weiterzuleiten. Laut den Forschern hat der aber bislang nicht aus der Ferne funktioniert. Dafür sorgte unter anderem auch eine Einstellung im Internet Explorer, die ein automatisches Log-in nur in der Intranet-Zone zulässt.

Die Sicherheitsforscher Jonathan Brossard und Hormazd Billimoria hätten nun allerdings demonstriert, dass Windows diese Einstellung gegebenenfalls vernachlässige. Daher hätten sie den Browser dazu bringen können, im Hintergrund die Anmeldedaten für das Active Directory zu offenbaren, führt Computerworld weiter aus. Der ursprüngliche Fehler stecke in einer Windows-DLL-Datei, die nicht nur der Internet Explorer, sondern auch andere Anwendungen wie Outlook und Windows Media Player nutzten, um auf URLs zuzugreifen. Die DLL-Datei wiederum frage zwar die Einstellungen für die Authentifizierung in der Registrierungsdatenbank von Windows (Registry) ab, ignoriere sie ansonsten aber.

Davon betroffen sind alle unterstützten Versionen von Windows und Internet Explorer, einschließlich Windows 10 und Microsofts neuem Browser Edge. Es handele sich damit um den ersten Remote-Angriff auf Windows 10 und Edge, wie Brossard ergänzt.

Über die Funktion NTLM over HTTP, die für die Anbindung von Cloud-Diensten eingeführt worden sei, sei es den Forschern auch möglich gewesen, sich bei Servern außerhalb des lokalen Netzwerks des Anwenders anzumelden. Handele es sich bei dem entfernten Server um einen Exchange Server, dann könne ein Angreifer die gesamte Mailbox des Nutzers herunterladen, so Computerworld weiter. Werde der Hash-Wert des Passworts geknackt, sei es sogar möglich, auf einen Remote-Desktop-Protocol-Server zuzugreifen.

Ein Microsoft-Sprecher räumte die Sicherheitslücke gegenüber Computerworld ein. Er empfahl daher, über die Windows-Firewall ausgehende SMB-Pakete zu blockieren. Brossard weist darauf hin, dass Mitarbeiter anschließend nicht mehr auf Cloud-Computing-Funktionen zugreifen können. Stattdessen rät er deshalb zu einer hostbasierenden Filterung von SMB-Paketen.

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

[mit Material von Stefan Beiersmann, ZDNet.de]