Redirect to SMB

Passwort-Klau in allen Windows-Versionen

von - 14.04.2015
Windows mit Schabe
Angreifer können durch "Redirect to SMB" Windows-Zugangsdaten aus Netzwerken abgreifen. Alle Windows-Versionen inklusive Windows 10 sowie Virenscanner bekannter Hersteller sind betroffen.
Omnipräsente Windows-Schwachstelle: Über die bekannte Sicherheitslücke "Redirect to SMB" lassen sich Zugangsdaten des Netzwerks von Windows PCs, Tablets oder Server abgreifen. Betroffen sollen alle Windows-Versionen einschließlich der Preview von Windows 10 sein sowie zahlreiche Programme von Microsoft, Apple, Oracle und bekannten Antivirenherstellern. Das berichten Sicherheitsforscher von Cylance.
Redirect to SMB.jpg
Redirect to SMB: Eine gewöhnliche Update-Anfrage wird auf einen SMB-Server der Angreifer abgeleitet, der für das Abgreifen von Windows-Zugangsdaten zuständig ist.
(Quelle: Cylance )
Die Schwachstelle "Redirect to SMB" ist bereits seit 1997 bekannt. Durch sie können Angreifer Windows-Systeme dazu bringen, eine Verbindung mit einem fremden und schadhaften SMB-Server herzustellen. Bei einem Anmeldeversuch mit Nutzernamen und Passwort können Angreifer diese Netzwerkdaten dann abgreifen.
In ihrem Experiment gingen die Forscher einen Schritt weiter und haben einen Server aufgesetzt, der auf eine gewöhnliche HTTP- und HTTPS-Anfrage eines Bildes einfach auf eine Datei-URL "file://" weitergeleitet hat. Dort startete dann der bereits beschriebene Anmeldeversuch des Betriebssystems, bei dem die Nutzerdaten gestohlen werden können.
Als Schwachstelle wurden in Windows vier Anwendungs-Interfaces (APIs) identifiziert, die eine Weiterleitung von HTTP/HTTPS auf SMB erlauben. Bekannte Software-Hersteller nutzen diese etwa um Updates vom Server abzufragen. Laut den Forscher kann hier durch Man-In-The-Middle-Attacken eine Weiterleitung auf einen vorbereiteten HTTP-Server erfolgen, der wiederum auf den SMB-Server weiterleitet. Dort haben Cyberkriminelle dann Zugriff auf die Anmeldedaten vom Windows-System.
Cylance listet folgende Anwendungen als betroffen (nicht ausschließlich):

Betroffene Software

Microsoft

Windows, Internet Explorer, Windows Media Player, Excel 2010, Microsoft Baseline Security Analyzer

Apple

Apple Software Update, Apple QuickTime

Virenscanner & Security

Symantec Norton Security Scan, AVG Free, BitDefender Free, Comodo Antivirus, .NET Reflector, Maltego CE

Programme

Adobe Reader, TeamViewer, Box Sync, Github for Windows, PyCharm, IntelliJ IDEA, PHP Storm, JDK 8u31’s installer
Cylance schreibt in seinem Bericht, dass Cyberkriminelle für einen erfolgreichen Angriff zumindest Zugriff auf Teile des Netzwerkverkehrs des Opfers haben müssen. Eine weitere Angriffsmöglichkeit sollen manipulierte Werbe-Ads bieten. Öffentliche WLAN-Netze seien ebenfalls gefährdet.
Die betroffenen Software-Hersteller wurden bereits informiert. Bis Microsoft ein Update veröffentlicht hat, sollten Windows-Nutzer gemäß den Sicherheitsforschern den ausgehenden Traffic der Ports TCP 139 und TCP 445 des lokalen Netzwerks zum WAN blockieren. Die Datenbank für Software-Schwachstellen Cert rät Entwicklern außerdem sicherzustellen, dass ihre Software für Authentifizierungen nicht das Verfahren NTLM (NT LAN Manager) als Voreinstellung nutzt.
Verwandte Themen

Mehr zum Thema