Es ist nicht nur möglich, die Identität lokaler Benutzerkonten anzunehmen, sondern auch die aller Accounts eines Windows-Domänen-Forests. Mit einer System-Konsole, wie in Bild 1 gezeigt, lässt sich ein Zugang zu jedem weiterem Konto schaffen.
Der erste Test von ZDNet mit dem in neueren Windows-Versionen vorhandenen Befehl runas (ausführen als) schlägt jedoch fehl. Beim Versuch, die Identität eines fremden Benutzers anzunehmen, fragt das Tool nach seinem Passwort, siehe Bild 2.
Das liegt aber nur daran, dass das Programm runas.exe nicht prüft, ob es auch ohne Eingabe des Passworts die fremde Identität annehmen kann. Normalerweise ist es nämlich gar nicht möglich, sich unter dem System-Konto anzumelden.
Die Auswahl an quelloffenen Runas-Tools ist groß. ZDNet entscheidet sich für den Posix-API-Layer Cygwin. Darin enthalten sind sämtliche GNU-Tools, unter anderem das von Unix bekannte su.
Das Ergebnis ist zunächst wieder enttäuschend, siehe Bild 3. Der erneute Aufruf von whoami ergibt, dass die Konsole nach wie vor unter dem System-Account arbeitet. Einige Nachforschungen zeigen, dass Microsoft die Sicherheit im Laufe der Zeit immer weiter "erhöht" hat. So kann man vom Account System ohne Identitätsprüfung nur zu einem anderen Account wechseln, der lokale Administratorrechte hat.
Das lässt sich unter dem System-Account jedoch leicht bewerkstelligen. Mit dem bereits genannten Befehl net localgroup administrators <[domainname]username> /add erteilt man dem Konto, unter dessen Identität man arbeiten möchte, kurzfristig die notwendigen Rechte. Sobald man unter dem fremden Account arbeitet, lassen sich die Rechte wieder entziehen. Der Angreifer kann jedoch solange mit dem fremden Konto arbeiten, wie er möchte, siehe Bild 4.
Da der Angriff auf ausnahmslos alle Benutzerkonten geführt werden kann, bieten sich neben dem eigenen Chef etwa Mitarbeiter der Gehaltsbuchhaltung oder Konten mit netzwerkweiten Administratorrechten an. Allerdings kann der Angreifer nur darauf hoffen, dass er vertrauliche Daten auf dem Rechner findet, auf dem er sich eingeloggt hat. Netzwerkzugriffe sind nicht möglich, da er keine gültigen Netzwerkcredentials besitzt, beispielweise ein Kerberos-Ticket oder ein NTLM-Token.
Gefährlich sind Szenarien, bei denen Anwendungen Kopien von Teilen geöffneter Dokumente im Temp-Verzeichnis speichern. Die kann ein Angreifer leicht auslesen. Da das Temp-Verzeichnis in der Standardeinstellung auf einem Terminalserver beim Abmelden gelöscht wird, muss der Angreifer sich gleichzeitig mit dem auszuspionierenden Benutzer anmelden.
Eine bedrohliche Situation entsteht auch, wenn Terminalserver als Zugang zu E-Mail eingesetzt werden, da man einem Webmail-Zugang wie OWA nicht traut, weil sich Benutzer aus einem Internetcafé nicht korrekt abmelden. Wenn auf einem Terminalserver lokale E-Mail-Dateien liegen, etwa eine Outlook-OST-Datei, ist sie durch Ausnutzung des VDM-Exploits stark gefährdet.
Ohne eine kostenlose Alternative, die ohne Zustimmung zur Verarbeitung personenbezogener Daten zu Werbezwecken auskommt, ist…
LabHost gilt als einer der größten Phishing-Dienstleister weltweit. Die Ermittler verhaften 37 Verdächtige, darunter der…
Neuer Datendurchsatz-Rekord an Europas größtem Internetknoten parallel zum Champions-League-Viertelfinale.
Die neuen Chips bieten bis zu 25 Prozent mehr Leistung. Samsung steigert auch die Energieeffizienz…
Betroffen sind Lösungen von Cisco, Fortinet, SonicWall und anderen Anbietern. Die Hacker nehmen Konten mit…
Immer häufiger müssen sich Betriebe gegen Online-Gefahren wehren. Vor allem in KMUs werden oft noch…