Sicherheitsproblem leakt Windows Login-Daten

Sicherheitsproblem leakt Windows Login-Daten

 

Ein Sicherheitsproblem in allen Windows-Systemen ermöglicht einem Angreifer, die Windows-Login-Daten (Nutzername/Passwort) zu erlangen. Das ist besonders kritisch, wenn man einen Microsoft-Account für den Windows-Zugang benutzt, weil dieses auch den Zugang zu vielen anderen Diensten ermöglicht. Darunter fallen:

  • Microsoft OneDrive (Cloud-Speicher)
  • Microsoft Outlook (E-Mail-Konto)
  • Skype account (Wenn mit Microsoft-Konto registriert)
  • Xbox Live network
  • Microsoft Office
  • MSN account (Instant Messaging)
  • Windows Mobile account (Zugriff auf Mobiltelefon)
  • Microsoft Bing account (Zugriff auf Browser-Suchverlauf)

windows-password-hack
Grundsätzlich kann ein erfolgreicher Angriff alle Dienste kompromittieren, die mit einem Microsoft-Account registriert wurden. Wenn der Rechner Logins von außerhalb zuläßt, kann zusätzlich beliebiger Code ausgeführt werden.

Wir wurden über dieses Problem von ValdikSS vom russischen VPN-Provider ProstoVPN informiert. Sie finden weitere Informationen dazu im russischen Post oder auf seinem Blog.

Sie können überprüfen, ob Sie für dieses Problem anfällig sind, indem Sie unsere Test-Seite aufrufen. Wenn dieser Test Ihren Windows-Nutzernamen und Passwort oder Passwort-Hash anzeigt, sollten Sie umgehend Ihr Passwort ändern und auf eine der vorgeschlagenen Lösungen am Ende dieses Blog-Posts zurückgreifen.

Details:

Um die Schwachstelle auszunutzen, muss der Angreifer eine Netzwerk-Freigabe aufsetzen und das Opfer dazu bringen, eine IP-Adresse dieser Freigabe aufzurufen. Das kann mittels eines eingebundenen Bildes auf einer Website geschehen, wenn das Opfer Internet Explorer oder Edge benutzt (Chrome und Firefox sind nicht anfällig). Eine weitere Möglichkeit ist, die Freigabe-IP in eine E-Mail einzubinden. Wenn das Opfer Microsoft Outlook verwdendet, werden seine Login-Informationen ebenfalls geleakt.

Genauer formuliert führt ein erfolgreicher Angriff dazu, dass der Windows-Nutzername und der NTLM-Hash des Passworts einsehbar sind. Diese Hashes können allerdings relativ einfach geknackt werden, bei einem schwachen Passwort in wenigen Sekunden. Generell sollte man davon ausgehen, dass das Windows-Passwort kompromittiert ist, wenn der Hash nach außen gelangt ist.

Es handelt sich hierbei übrigens weder um ein neu entdecktes Problem noch um eine anerkannte Sicherheitslücke: Zum ersten Mal wurde dieses Problem bereits in 1997 von Aaron Spangler entdeckt. Außerdem gab es 2015 einen Talk auf der jährlichen Blackhat-Konferenz darüber. Allerdings wurde dies bislang nicht als großes Problem angesehen, solange der Angriff nur die Zugangsdaten zum lokalen Windows-Rechner preisgibt (im Normalfall kann man sich von außen nicht mit diesen Zugangsdaten einloggen). Aber seit Windows 8 ermöglicht Windows es, sich mit dem Microsoft Account zu authentifizieren und seit Windows 10 ist das der Standard. Wie eingänglich erwähnt, kompromittiert das jeden Dienst, bei dem man sich mit seinem Microsoft-Account einloggt, inklusive E-Mail, Skype und XBox Live.

Zwar handelt es sich hierbei um kein VPN-spezifisches Problem, doch kann dies auch VPN-Verbindungen betreffen: Wenn man IPSec für die VPN-Verbindung verwendet und dieser Angriff stattfindet, so werden statt der Windows-Zugangsdaten der Nutzername und das Passwort der VPN-Verbindung preisgegeben. Dadurch wird zwar nicht direkt die Sicherheit der Verschlüsselung des VPN-Tunnels beeinträchtigt, jedoch durch den Zugang möglicherweise die Anonymität des VPN-Nutzers kompromittiert. Auch Zugriffsdaten für VPN Zugänge von Firmen (z.B. für Außendienst-Mitarbeiter) können Angreifern so in die Hände fallen.

Selbst wenn dieses Sicherheitsproblem keine Auswirkungen auf VPN-Verbindungen hätte, sehen wir uns trotzdem in der Verantwortung, unsere Nutzer vor solch offensichtlichen Sicherheitslücken zu schützen. Wir haben daher unseren Windows VPN-Client aktualisiert, so dass Anfragen an Netzwerk-Freigaben über das Internet blockiert werden.

Abhilfen:

  • Benutzen Sie keine Microsoft-Software, die über das Internet auf Netzwerk-Freigaben zugreifen (Internet Exlorer, Edge, Outlook, etc.).
  • Benutzen Sie keinen Microsoft-Account, um sich in Ihren Windows-Rechner einzuloggen.
  • Blockieren Sie ausgehende Verbindungen zu den Ports 445 und 137-139 auf Ihrem Router/Firewall.
  • Blockieren Sie ausgehende Verbindungen zu den Ports 445 und 137-139 zu nicht lokalen IP-Adressbereichen in der Windows-Firewall.

Wenn Sie den Perfect Privacy benutzen, sind Sie vor diesem Angriff geschützt. Zum einen verhindert der VPN Manager, dass Anfragen an Netzwerk-Freigaben über das Internet gesendet werden und zum anderen ist Port 445 auf den Perfect-Privacy-Servern blockiert.

 


Weitere Posts aus 08/2016

Diese Webseite verwendet Cookies zur Analyse der Zugriffe und zur Steuerung unserer Werbung. Wenn Sie diese Seite nutzen, stimmen Sie der Cookie-Nutzung zu. Mehr Informationen finden Sie in unserer Datenschutzerklärung.