Windows: Login-Daten geklaut, ohne dass der Nutzer davon weiß
Die Ordnerfreigabe von Windows hat einen folgenschweren Sicherheitsfehler
Logo/Symbol: Microsoft, Grafik/Montage. teltarif.de
In schöner Regelmäßigkeit verteilt Microsoft am ersten Dienstag eines Monats eine ganze Reihe an Updates und wichtigen Patches, um noch unterstützte Windows-Betriebssysteme auf dem aktuellen Stand zu halten und Lücken in der Sicherheit zu schließen. Nur manchmal werden entdeckte und bekannte Lücken in jeder Windows-Version auch tatsächlich geschlossen.
So geschehen bei einem Fund des Sicherheitsforschers Juan Diego, wie Foss Bytes berichtet. Dieser hat entdeckt, dass sich die Anmeldedaten von Windows-Betriebssystemen mit wenig Aufwand über die Funktion "Geteilte Ordner" erschleichen lassen. Das besorgniserregende an der Sache ist, dass der Fehler in der Ordnerfreigabe von Windows 10 erst nach fast 150 Tagen behoben wurde, für Windows 7 und Windows 8.1 aber noch gar nicht.
Es kann natürlich auch sein, dass mit dem nächsten Patchday ein entsprechendes Update für die genannten Windows-Versionen nachgereicht wird, da bekanntlich Windows 10 aktuell die volle Aufmerksamkeit im Redmonder Software-Konzern genießt. In Stein gemeißelt ist die Annahme aber keineswegs. Daher ist es ratsam, bis auf weiteres jede öffentliche Ordnerfreigabe mit einem Passwort zu versehen.
Eingeschleuste Dateien
Die Ordnerfreigabe von Windows hat einen folgenschweren Sicherheitsfehler
Logo/Symbol: Microsoft, Grafik/Montage. teltarif.de
Der Rat zu einem Passwort-geschützten Zugriff auf öffentliche Ordnerfreigaben unter Windows-Systemen ist darauf zurückzuführen, dass Angreifer eine manipulierte SCF-Datei in einem (öffentlich) freigegebenen Ordner einschleusen müssen, damit der Angriff seine Wirkung entfaltet. Besagte kleine Datei sammelt dabei allerlei Daten, darunter auch das NTLM-Hash-Passwort, und übermittelt es an einen innerhalb der Datei konfigurierten Server. Nun hat der Angreifer genügend Zeit, den NTLM-Hash-Wert zu knacken und sich später auf dem Rechner des Opfers einzuloggen.
Gemeldet wurde der Fehler in der Ordnerfreigabe-Funktion von Windows bereits im April von Juan Diego, sodass eine durchaus längere Zeit verstrichen ist, ehe Microsoft reagiert hat. Mit dem Oktober-Patchday haben alle Versionen von Windows 10 und Windows Server 2016 einen Patch erhalten, während Windows 7 und Windows 8/8.1 wie bereist erwähnt leer ausgegangen sind. Eine genaue Beschreibung des Fehlers liefert Microsoft an dieser Stelle. Das Prinzip hinter dem Angriff selbst ist übrigens schon seit mehr als 20 Jahren bekannt und wird als Pass-the-Hash-Angriff bezeichnet.
Wie genau der Fehler ausgelöst wird, will Microsoft nicht verraten. Gegenüber BleepingComputer äußerste sich Diego, dass Microsoft extremst zurückhaltend über die Sache spricht. Der Patch selbst für Windows 10 und Windows Server 2016 enthält ersten Informationen zufolge übrigens lediglich zwei Registry-Einträge, um die NTLM-Funktion für Ordnerfreigaben zu deaktivieren.
So kann man sich selbst helfen
Da es sich lediglich um Registry-Einträge handelt, können Nutzer von Windows 7 und Windows 8/8.1 sich mit einfachen Bordmitteln selbst behelfen. Dazu öffnet man einfach den Notepad-Editor, füge folgende Textzeilen ein und speichere die Datei als "ordnerfreigabe-absichern.reg" oder mit einem anderen Namen. Wichtig ist die Dateiendung *.reg, denn dadurch wird die Textdatei als Registrierungsdatei definiert, womit sich selbige automatisiert per Registry-Editor importieren lässt. Außerdem muss im Speichern-Dialog die Auswahl auf "Alle Dateien" umgestellt werden.
Windows Registry Editor Version 5.00 [-HKEY_CLASSES_ROOT.scf] [-HKEY_CLASSES_ROOTSHCmdFile] [-HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.scf] [-HKEY_LOCAL_MACHINESOFTWAREClassesSHCmdFile]
Lesen Sie in einer weiteren Meldung, wie Microsoft mit dem Fall Creators Update für Windows 10 zusätzlich die Sicherheit vor Malware-Angriffen erhöht.