Windows SMB-Sharing-Bug verrät Benutzerdaten

Hackers haben eine Sicherheitslücke entdeckt, die in allen aktuellen Windows-Versionen schlummert und wohl bereits seit Windows 95 existiert. Der Bug bewirkt, dass die Daten eines Windows-Benutzerkontos an Webseiten gesendet werden.


Anzeige

Die Hacker haben auf der BlackHat-Konferenz das Dokument SMB : Sharing more than your les… mit Details veröffentlicht. Durch die Sicherheitslücke kann man Windows Anmededaten (Benutzername und Kennwort) über Webseiten abfragen, wenn Microsoft-Produkte wie Edge, IE oder Outlook zum Webzugriff verwendet werden.

Die Hackers haben ein Bild in einer Webseite eingebettet, welches von einer SMB-Netzwerkfreigabe geladen wird. Die Microsoft-Produkte wie Edge senden dann die Anmeldedaten (Benutzername und das Kennwort) des Windows-Benutzerkontos an die Netzwerkfreigabe (was von der Webseite gelesen werden kann). Der Benutzername wird im Klartext übertragen, dass Kennwort als NTLMv2 Hash.

Da ab Windows 8 häufig Microsoft-Konten mit E-Mail-Adressen eingesetzt werden, können Hacker diese über Webseiten abrufen. Die Empfehlung lautet, keine Microsoft Produkte für Webzugriffe einzusetzen. Zudem sollten die SMB-Ports in der Firewall für öffentliche Verbindungen geblockt werden. Details finden sich bei mspoweruser.com.


Anzeige

Dieser Beitrag wurde unter Netzwerk, Sicherheit, Windows, Windows 10 abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Windows SMB-Sharing-Bug verrät Benutzerdaten

  1. Das ist aber auch schon länger bekannt, deshalb nutze ich auch so ungern Microsoft Produkte unter Windows hörte sich bis heute zwar immer etwas bescheuert an aber ist leider so.

  2. Ingo sagt:

    Man schreibt dort, dass noch diverse weitere (auch nicht-Microsoft-) Software das Problem auslösen kann. Ungerne Microsoft Produkte unter Windows zu nutzen hilft also nicht.

    Allerdings erklärt man da ja auch einfache Methoden, um das zu blocken. Ausgehenden Traffic auf den genannten Ports darf der Router beim Heimuser oder die Firewall in der Firma halt nicht ins Netz lassen – was schon seit Jahren eigentlich Standard sein sollte. Oder filtert da ernsthaft jemand SMB Traffic nicht?

    Und dass das in Firmen mit Roaming-Usern nicht einfach ist, stimmt so auch nicht. Da wird per GPO halt eine Windows-Firewall-Richtlinie verteilt, die die entsprechenden Ports außerhalb des Firmennetzes generell blockt. Sobald der User die Maschine nach Hause nimmt, macht die Windows-Firewall halt zu.

  3. Ingo sagt:

    Ach ja: schaut auch mal aufs Datum. Die ganze Sache ist ein Jahr alt. ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.