14.04.2015
Redirect to SMB
Passwort-Klau in allen Windows-Versionen
Autor: Robert Schanze
Angreifer können durch "Redirect to SMB" Windows-Zugangsdaten aus Netzwerken abgreifen. Alle Windows-Versionen inklusive Windows 10 sowie Virenscanner bekannter Hersteller sind betroffen.
Omnipräsente Windows-Schwachstelle: Über die bekannte Sicherheitslücke "Redirect to SMB" lassen sich Zugangsdaten des Netzwerks von Windows PCs, Tablets oder Server abgreifen. Betroffen sollen alle Windows-Versionen einschließlich der Preview von Windows 10 sein sowie zahlreiche Programme von Microsoft, Apple, Oracle und bekannten Antivirenherstellern. Das berichten Sicherheitsforscher von Cylance.
In ihrem Experiment gingen die Forscher einen Schritt weiter und haben einen Server aufgesetzt, der auf eine gewöhnliche HTTP- und HTTPS-Anfrage eines Bildes einfach auf eine Datei-URL "file://" weitergeleitet hat. Dort startete dann der bereits beschriebene Anmeldeversuch des Betriebssystems, bei dem die Nutzerdaten gestohlen werden können.
Als Schwachstelle wurden in Windows vier Anwendungs-Interfaces (APIs) identifiziert, die eine Weiterleitung von HTTP/HTTPS auf SMB erlauben. Bekannte Software-Hersteller nutzen diese etwa um Updates vom Server abzufragen. Laut den Forscher kann hier durch Man-In-The-Middle-Attacken eine Weiterleitung auf einen vorbereiteten HTTP-Server erfolgen, der wiederum auf den SMB-Server weiterleitet. Dort haben Cyberkriminelle dann Zugriff auf die Anmeldedaten vom Windows-System.
Cylance listet folgende Anwendungen als betroffen (nicht ausschließlich):
Cylance schreibt in seinem Bericht, dass Cyberkriminelle für einen erfolgreichen Angriff zumindest Zugriff auf Teile des Netzwerkverkehrs des Opfers haben müssen. Eine weitere Angriffsmöglichkeit sollen manipulierte Werbe-Ads bieten. Öffentliche WLAN-Netze seien ebenfalls gefährdet.
Die betroffenen Software-Hersteller wurden bereits informiert. Bis Microsoft ein Update veröffentlicht hat, sollten Windows-Nutzer gemäß den Sicherheitsforschern den ausgehenden Traffic der Ports TCP 139 und TCP 445 des lokalen Netzwerks zum WAN blockieren. Die Datenbank für Software-Schwachstellen Cert rät Entwicklern außerdem sicherzustellen, dass ihre Software für Authentifizierungen nicht das Verfahren NTLM (NT LAN Manager) als Voreinstellung nutzt.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Zu viel der Ordnung
macOS 14: Schreibtisch beruhigen
Mit macOS 14 ‹Sonoma› wird automatisch eine Ordnungsfunktion aktiviert, die in den Wahnsinn führen kann. So wird sie abgeschaltet.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>