Neuer Fehler in SMB für alle Windows-Versionen gefährlich

In allen unterstützten Windows-Versionen gibt es eine kritische Sicherheitslücke, die es Cyberkriminellen, die einen Teil des Netztraffics des Opfers kontrollieren, ermöglicht, Nutzer-Logins zu wichtigen Services zu stehlen. Diese Lücke tut sich bei einem Fehler in der Verarbeitung einiger HTTP-Anfragen durch das Betriebssystem und andere Software auf. Laut Aussage der Forscher, die den Bug entdeckten, ist ein breites Spektrum von Anwendungen von dieser Schwachstelle betroffen, unter anderem iTunes und Adobe Flash.

Die gefährliche Sicherheitslücke in Windows, die am vergangenen Montag von Experten bei Cylance beschrieben wurde, ist eine neue Spielart der Lücke, die vor ungefähr 20 Jahren von Aaron Spangler entdeckt wurde und als Redirect to SMB bekannt ist. Sie ermöglicht es einem Angreifer, das Opfer dazu zu bringen, sich bei einem von ihm kontrollierten Server zu authentifizieren.

„Der Redirect to SMB eröffnet einem Verbrecher die Möglichkeit, wertvolle Account-Daten der Anwender zu stehlen, indem er die Kommunikation mit legitimen Servern mittels einer Man-in-the-Middle-Attacke abfängt, um ihn dann auf schädliche SMB-Server umzuleiten, die die Namen der Opfer, ihre Domains und die gehashten Passwörter abgreifen“, erklärt Brian Wallace im Blog von Cylance.

„Wir haben diese Sicherheitslücke entdeckt als wir nach Wegen gesucht haben, ein Chat Client Feature zu missbrauchen, das eine Bildervorschau ermöglicht“, fährt der Experte fort. „Beim Empfang einer URL auf ein Bild versuchte der Client das Bild als Vorschau zu zeigen. Mit den Erkenntnissen im Hinterkopf, die Aaron vor 18 Jahren gewann, schickten wir einem anderen Anwender eine URL, die mit file:// begann und auf einen schädlichen SMB-Server verwies. Unsere Erwartungen wurden vollständig erfüllt: Der Chat-Client versuchte das Bild zu laden, doch der Windows-Nutzer am anderen Ende initiierte einen Authentifizierungsprozess auf unserem SMB-Server.“

Der Fehler Redirect to SMB betrifft nicht nur alle aktuellen Windows-Versionen, sondern auch Adobe Flash, einige GitHub-Clients, einzelne Produkte von Oracle sowie einige Sicherheitsanwendungen. Die Experten vom CERT-Koordinationszentrum an der Carnegie Mellon Universität warnen, dass die mittels Redirect to SMB gestohlenen Passwörter später offline entschlüsselt werden könnten.

„Viele Softwareprodukte verwenden HTTP-Anfragen für die Umsetzung von verschiedenen Funktionen, beispielsweise um zu überprüfen, ob Updates bereitstehen“, schreiben CERT-Mitglieder in einer Infoschrift. „Ein Krimineller kann solche Anfragen abfangen (sagen wir, mit Hilfe eines MitM-Proxys) und unter Einsatz eines HTTP-Redirects das Opfer auf einen schädlichen SMB-Server umleiten. Wenn er als Redirect eine file://-URL verwendet und das Opfer Windows installiert hat, startet das System automatisch die Authentifizierung auf dem schädlichen SMB-Server, indem es ihm die Account-Daten des Opfers sendet. Diese Identifikationsdaten erscheinen in den Logs in verschlüsselter Form, doch sie können nach Belieben mit der Brute-Force-Methode gehackt werden.“

Zum gegenwärtigen Zeitpunkt gibt es für Redirect to SMB kein Patch von Microsoft. Nach Meinung der Experten vereinfacht die von Cylance vorgestellte Angriffstechnik die Ausnutzung dieser Sicherheitslücke erheblich.

„Das ist eine neue Angriffsart, die einfach in der Ausführung ist und die in der Zukunft für die massenhafte Ausnutzung von Windows-Clientsystemen benutzt werden kann, die in nicht vertrauenswürdigen oder kompromittierten Netzen kommunizieren“, kommentiert HD Moore, Chief Research Officer bei Rapid 7. „Während Tools wie KARMA, Metasploit und Responder.py davon abhängig sind, dass der Anwender eine SMB-Verbindung mit dem Angreifer herstellt, verbessert die von Cylance vorgestellte Variante die Attacke, indem die Art ausgenutzt wird, mit der http-Redirects seitens derer verarbeitet werden, die die URLMon API aufrufen.“

„Die von Cylance durchgeführte Untersuchung zeigt, dass ein Angreifer keinesfalls darauf warten muss, dass der Nutzer den Browser öffnet oder sich manuell mit einer öffentlichen Netzressource verbindet“, fährt der Experte fort. „Ein Verbrecher kann ganz einfach die HTTP-Anfragen verfolgen, die automatisch von Hintergrundanwendungen versendet werden und sie umleiten, indem er eine URL nach Art von file:// für die Herstellung einer SMB-Verbindung und für die automatische Authentifizierung nutzt. Da auf einem typischen Laptop oder Tablet eine Vielzahl von Hintergrundanwendungen läuft, wird eine Attacke mit dem Umleiten von Mitteilungen auf SMB, die sich gegen Windows-Geräte richtet, die unsichere drahtlose Netze verwenden, wesentlich beschleunigt.“

„Innerhalb von fünf Minuten nach dem Neustart wurden auf einem Laptop unter Windows 8.1 mindestens 50 verschiedene HTTP-Verbindungen gefunden, von denen die meisten im lokalen Netz abgefangen werden können, um eine Zwangsauthentifizierung auf einem schädlichen SMB-Service zu verursachen“, warnt Moore in seinem Fazit. „Die Quellen dieser Verbindungen reichten von Programmen, die nach Updates für OEM-Komponenten suchen, über Wetter-Apps bis hin zu Nachrichtenanwendungen.“

Ein potentieller Einsatzbereich von Redirect to SMB sind vielstufige Attacken. „Es ist zu erwarten, dass diese Sicherheitslücke zu einem unerlässlichen Element von zweistufigen Phishing-Attacken wird“, vermutet der Kaspersky Lab Experte Patrick Nielsen. „Die erste Etappe besteht in dem Versuch, Sicherheitslücken auszunutzen, darunter auch diese, nachdem man den Nutzer dazu gebracht hat, einen in die Mail eingefügten Link anzuklicken. Danach sind andere Aktionen möglich, beispielsweise den User davon zu überzeugen, seine Login-Daten auf einem gefälschten Portal einzugeben oder ein Programm zu laden, das die Kontrolle über den Rechner übernimmt. Auf diese Weise ist der gewünschte Erfolg der Attacke garantiert, selbst wenn der Nutzer auf keine weiteren Tricks mehr hereinfällt, nachdem er die Zielseite geöffnet hat.“

„Eine Payload in Form einer SMB-Authentifikation ist hauptsächlich für die Durchführung späterer Angriffe auf dasselbe Ziel interessant, insbesondere wenn der angegriffene Nutzer über weitreichende Rechte verfügt, beispielsweise über die eines Active Directory Operators“, beschließt Nielsen seine Überlegungen.

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.