Schon 1997 entdeckt: Alte Windows-Lücke wird wieder genutzt

14. April 2015, 11:55
81 Postings

Alle Versionen bis Windows 8.1 anfällig für "Redirect to SMB" - Microsoft sieht nur geringe Gefahr

Im Jahr 1997 entdeckte der Sicherheitsforscher Aaron Spangler eine Lücke in Windows. Der Fehler, über den Cyberkriminelle potenziell an die Windows-Logindaten eines Nutzers gelangen können, soll weiterhin bestehen und neuerdings wieder genutzt werden, berichtet nun das Unternehmen Cylance. Das Leck tritt auch bei der aktuellsten Windows-Version, 8.1, auf.

"file://"-Adresse trickst System aus

In Verwendung ist demnach eine Variante des nicht behobenen Fehlers. Er betrifft das SMB-Protokoll. Ruft ein Nutzer eine Adresse auf, die mit "file://" gefolgt von einer IP-Adresse beginnt – etwa durch einen Link in einer Phishing-Mail -, denkt Windows, es würde auf eine Datei auf einem Server zugreifen. Das System übermittelt daraufhin Benutzernamen und Passwort zur Authentifizierung, ohne vorher einen Bestätigungsdialog anzuzeigen, schreibt CNet.

Das Kennwort wird allerdings verschlüsselt verschickt. Cylance gibt allerdings an, dass ein Angreifer mit Hilfe eines leistungsfähigen Grafikprozessors die Verschlüsselung relativ schnell knacken kann. Ein Passwort aus acht Zeichen (Großbuchstaben, Kleinbuchstaben und Zahlen) soll sich in weniger als einem halben Tag herausfinden lassen.

31 Programme anfällig

Verwundbar für einen Angriff auf diese mittlerweile 18 Jahre alte Schwachstelle sind nach Angaben von Cylance neben dem Internet Explorer auch noch 30 weitere Programme – etwa der Adobe Reader, Norton Security oder Apple Quicktime. Laut Forschern der Carnegie Mellon University dürfte er prinzipiell jedes Programm betreffen, das online nach Versionsupdates suchen kann.

Microsoft beschwichtigt

Bei Microsoft sieht man allerdings wenig Grund für Panik. Man sehe die Entdeckung von Cylance nicht als neue Angriffsmethode, zudem müssten für eine erfolgreiche Attacke mehrere Faktoren erfüllt werden – etwa eine Person dazu zu bringen, auf einer gefälschten Website Informationen einzugeben. "Wir ermuntern die Nutzer, keine Links zu öffnen, die von unbekannten Absendern stammen und keine unsicheren Seiten aufzurufen." (gpi, 14.04.2015)

  • Diagramm: So funktioniert "Redirect to SMB", dessen Ursache laut Cylance seit 1997 nicht behoben wurde.
    foto: cylance

    Diagramm: So funktioniert "Redirect to SMB", dessen Ursache laut Cylance seit 1997 nicht behoben wurde.

Share if you care.