Schwarz-buch |
Schon 1997 entdeckt: Alte Windows-Lücke wird wieder genutzt
14. April 2015, 11:55
Alle Versionen bis Windows 8.1 anfällig für "Redirect to SMB" - Microsoft sieht
nur geringe Gefahr
Im Jahr 1997 entdeckte der Sicherheitsforscher Aaron Spangler eine Lücke in
Windows. Der Fehler, über den Cyberkriminelle potenziell an die
Windows-Logindaten eines Nutzers gelangen können, soll weiterhin bestehen und
neuerdings wieder genutzt werden, berichtet nun das Unternehmen Cylance. Das
Leck tritt auch bei der aktuellsten Windows-Version, 8.1, auf.
"file://"-Adresse trickst System aus
In Verwendung ist demnach eine Variante des nicht behobenen Fehlers. Er betrifft
das SMB-Protokoll. Ruft ein Nutzer eine Adresse auf, die mit "file://" gefolgt
von einer IP-Adresse beginnt – etwa durch einen Link in einer Phishing-Mail -,
denkt Windows, es würde auf eine Datei auf einem Server zugreifen. Das System
übermittelt daraufhin Benutzernamen und Passwort zur Authentifizierung, ohne
vorher einen Bestätigungsdialog anzuzeigen, schreibt CNet.
Das Kennwort wird allerdings verschlüsselt verschickt. Cylance gibt allerdings
an, dass ein Angreifer mit Hilfe eines leistungsfähigen Grafikprozessors die
Verschlüsselung relativ schnell knacken kann. Ein Passwort aus acht Zeichen
(Großbuchstaben, Kleinbuchstaben und Zahlen) soll sich in weniger als einem
halben Tag herausfinden lassen.
31 Programme anfällig
Verwundbar für einen Angriff auf diese mittlerweile 18 Jahre alte Schwachstelle
sind nach Angaben von Cylance neben dem Internet Explorer auch noch 30 weitere
Programme – etwa der Adobe Reader, Norton Security oder Apple Quicktime. Laut
Forschern der Carnegie Mellon University dürfte er prinzipiell jedes Programm
betreffen, das online nach Versionsupdates suchen kann.
Microsoft beschwichtigt
Bei Microsoft sieht man allerdings wenig Grund für Panik. Man sehe die
Entdeckung von Cylance nicht als neue Angriffsmethode, zudem müssten für eine
erfolgreiche Attacke mehrere Faktoren erfüllt werden – etwa eine Person dazu zu
bringen, auf einer gefälschten Website Informationen einzugeben. "Wir ermuntern
die Nutzer, keine Links zu öffnen, die von unbekannten Absendern stammen und
keine unsicheren Seiten aufzurufen." (gpi, 14.04.2015)
Links
CNet
CERT.org
Cylance
http://derstandard.at/2000014272973/Schon-1997-entdeckt-Alte-Windows-Luecke-wird-wieder-genutzt