Die Sicherheitsfirma Cylance hat eine neue Variante einer alten Sicherheitslücke entdeckt, die theoretisch den Diebstahl von Nutzernamen und Passwörtern erlaubt. Die „ Redirect to SMB “ genannte Anfälligkeit steckt unter anderem in allen Windows-Versionen, also auch der aktuellen Preview von Windows 10 . Darüber hinaus sind auch Internet Explorer, Windows Media Player, Excel 2010 und Microsofts Baseline Security Analyzer sowie Anwendungen von anderen Anbietern wie Adobe , Apple , Box, Oracle, Symantec und Teamviewer betroffen.
Erstmals hatte der Sicherheitsforscher Aaron Spangler 1997 eine Lücke in Windows Server Message Block (SMB) beschrieben, die es Angreifern erlaubt, Windows dazu zu bringen, sich bei einem von ihnen kontrollierten Server anzumelden. Eine mit dem Wort „File“ beginnende URL brachte Internet Explorer dazu, sich mit einem SMB-Server an der in der URL angegebenen Adresse zu verbinden. Die speziell präparierten URLs konnten wiederum in einem Bild, einem iFrame oder einen anderen Ressource versteckt werden, die der Browser auflöst.
Cylance hat diese Lücke nun mit einem Verfahren zur Weiterleitung von HTTP-Anfragen kombiniert. „Wir haben einen HTTP-Server in Python erstellt, der jede Anfrage mit einem einfachen HTTP-302-Status-Code beantwortet und Clients an eine ‚file://URL‘ weiterleitet“, heißt es in einem Blogeintrag von Cylance. „Dadurch konnten wir bestätigten, dass eine ‚http://URL‘ zu einem Authentifizierungsversuch des Betriebssystems führen könnte.“
Insgesamt vier gebräuchliche Windows-API-Funktionen sollen eine Weiterleitung von HTTP/HTTPS auf SMB ermöglichen. Erste Tests hätten gezeigt, dass sie von einer Vielzahl von Anwendungen benutzt werden, darunter auch Software-Updater. In Kombination mit einer Man-in-the-Middle-Attacke könne ein Angreifer mithilfe der anfälligen Anwendungen eine Authentifizierung bei einem SMB-Server erzwingen und per HTTP oder auch HTTPS übertragene Daten abfangen.
Insgesamt hat Cylance nach eigenen Angaben 31 betroffene Anwendungen identifiziert. Darunter sind Adobe Reader, Apple QuickTime, Apple Software Update, Symantec Norton Security Scan, AVG Free, Bitdefender Free, Comodo Antivirus, Box Sync, TeamViewer und auch der Installer für das Java Development Kit 8 Update 31.
Die Forscher erwarten, dass die Lücke vor allem bei zielgerichteten Angriffen zum Einsatz kommt, da sie sich nur ausnutzen lässt, wenn der Angreifer bereits ein Teil des Systems seines Opfers kompromittiert hat. Einfacher sei es jedoch in einem gemeinsam genutzten WLAN-Netzwerk. „Wir haben einen Angriff erfolgreich in einem Heimnetzwerk mit einem Nexus 7 getestet“, so die Forscher weiter.
„ Microsoft hat das 1997 von Aaron Spangler gemeldete Problem nicht behoben. Wir hoffen, dass unsere Forschung Microsoft überzeugt, die Anfälligkeit erneut zu prüfen und die Authentifizierung mit nicht vertrauenswürdigen SMB-Servern zu deaktivieren“, schreibt Cylance-Mitarbeiter Brian Wallace.
Microsoft zufolge handelt es sich bei dem von Cylance beschriebenen Verfahren nicht um einen neuen Angriff. Auch das davon ausgehende Risiko stuft der Softwarekonzern als eher gering ein. Damit diese Art der Cyber-Attacke funktioniere, müssten verschiedene Bedingungen erfüllt werden, wie beispielsweise einen Nutzer davon zu überzeugen, seine Anmeldedaten in eine gefälschte Website einzugeben. Trotzdem rät Microsoft erneut dazu, keine Links in E-Mails von unbekannten Absendern anzuklicken oder unsichere Websites zu besuchen.
[mit Material von Don Reisinger, News.com ]
Tipp : Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
