Forscher stehlen remote Zugangsdaten für Active Directory

Sicherheitsforscher haben einen Weg gefunden, mithilfe einer seit mehr als zehn Jahren bekannten Sicherheitslücke im Netzwerkprotokoll Server Message Block (SMB) aus der Ferne die Anmeldedaten von Windows-Computern zu stehlen, die zu einer Active-Directory-Domäne gehören. Wie Computerworld berichtet, war es bisher nur möglich, diese Anfälligkeit innerhalb eines lokalen Netzwerks auszunutzen.

Auf der Konferenz Black Hat in Las Vegas zeigten die Forscher nun, dass sie ein Opfer lediglich dazu verleiten müssen, eine speziell gestaltete Website zu öffnen oder E-Mail in Outlook zu lesen. Der Diebstahl der Anmeldedaten ist aber auch über ein im Windows Media Player zu öffnendes Video möglich. Die erbeuteten Anmeldedaten erlauben es dem Bericht zufolge dem Angreifer, sich bei jedem Windows-Server anzumelden, für den der Nutzer ein Konto hat – inklusive Cloud-Servern.

In einem Active-Directory-Netzwerk senden Windows-Rechner laut Computerworld automatisch ihre Anmeldedaten, um auf Dateifreigaben, Exchange- oder SharePoint-Server zuzugreifen. Dafür benutzen sie das Authentifizierungsprotokoll NTLM Version 2 (NTLMv2), das Computer- und Nutzername im Klartext und einen verschlüsselten Hash des Passworts überträgt.

2001 hatten Forscher den SMB Relay genannten Angriff entwickelt, um die von einem Windows-Rechner verschickten Anmeldedaten abzufangen und an einen von ihnen kontrollierten Server weiterzuleiten. Dieser hat laut den Forschern bisher aber nicht aus der Ferne funktioniert. Dafür sorgte eine unter anderem auch eine Einstellung im Internet Explorer, die ein automatisches Log-in nur in der Intranet-Zone zulässt.

Die Sicherheitsforscher Jonathan Brossard und Hormazd Billimoria hätten aber nun gezeigt, dass Windows diese Einstellung unter Umständen ignoriere. Stattdessen hätten sie den Browser dazu gebracht, im Hintergrund die Anmeldedaten für Active Directory preiszugeben, so Computerworld weiter. Der eigentliche Fehler stecke in einer Windows-DLL-Datei, die nicht nur der Internet Explorer, sondern auch andere Anwendungen wie Outlook und Windows Media Player verwendeten, um auf URLs zuzugreifen. Die DLL-Datei wiederum frage zwar die Einstellungen für die Authentifizierung in der Registry ab, ignoriere sie aber.

Davon betroffen sind alle unterstützten Versionen von Windows und Internet Explorer, inklusive Windows 10 und Microsofts neuem Browser Edge. Es handele sich damit um den ersten Remote-Angriff auf Windows 10 und Edge, ergänzte Brossard.

Über die Funktion NTLM over HTTP, die für die Anbindung von Clouddiensten eingeführt worden sei, sei es den Forschern auch möglich gewesen, sich bei Servern außerhalb des lokalen Netzwerks des Nutzers anzumelden. Handele es sich bei dem entfernten Server um einen Exchange Server, dann könne ein Angreifer die gesamte Mailbox des Nutzers herunterladen, so Computerworld. Werde der Hash-Wert des Passworts geknackt, sei es sogar möglich, auf einen Remote-Desktop-Protocol-Server zuzugreifen.

Ein Microsoft-Sprecher räumte gegenüber Computerworld die Sicherheitslücke ein. Er empfahl, über die Windows-Firewall ausgehende SMB-Pakete zu blockieren. Brossard weist darauf hin, dass Mitarbeiter anschließend nicht mehr auf Cloud-Computing zugreifen können. Er rät stattdessen zu einer hostbasierten Filterung von SMB-Paketen.

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.