Redirect to SMB: Uralte Sicherheitslücke in allen Windows-Versionen

IT-Sicherheitsexperten haben die Schwachstelle Redirect to SMB wiederentdeckt, die sämtliche Windows-Versionen betrifft. Sie lässt sich auch über zahlreiche Anwendungen ausnutzen. Unter Umständen geben Nutzer ihre Zugangsdaten zum Windows-Netzwerk preis.

Artikel veröffentlicht am ,
Über Redirect to SMB können Angreifer ihre Opfer auf ihre SMB-Server umleiten und dort etwa Zugangsdaten erbeuten.
Über Redirect to SMB können Angreifer ihre Opfer auf ihre SMB-Server umleiten und dort etwa Zugangsdaten erbeuten. (Bild: Cylance)

Die bereits seit mehr als 18 Jahren bekannte Schwachstelle Redirect to SMB betrifft weiterhin sämtliche Windows-Versionen. Sie kann nach Angaben von IT-Sicherheitsexperten mit moderner Hardware ausgenutzt werden, um die Zugangsdaten eines Opfers zum Windows-Netzwerk zu stehlen und Passwörter zu entschlüsseln. Auch viel Software ist von der Schwachstelle betroffen, darunter die Update-Funktionen einiger Antivirussoftware.

Stellenmarkt
  1. System Engineer DevOps Logistik Automation (m/w/d)
    KRATZER AUTOMATION AG, Unterschleißheim
  2. Datenbankentwickler:in (m/w/d)
    Kassenärztliche Vereinigung Schleswig-Holstein, Bad Segeberg
Detailsuche

Die Schwachstelle Redirect to SMB wurde bereits 1997 von Aaron Spangler beschrieben und 2009 von Microsoft bestätigt. Mit in HTTP-Anfragen eingebetteten Datei-URLs können Windows-Rechner dazu gebracht werden, eine Verbindung mit einem fremden SMB-Server herzustellen. Bei dem Verbindungsaufbau werden Benutzernamen und verschlüsselte Passwörter auf dem SMB-Server gespeichert.

Verankert in APIs

In ihrem Experiment setzten die IT-Sicherheitsexperten bei Cylance zunächst einen einfachen Webserver auf, der HTTP- beziehungsweise HTTPS-Anfragen mit einer 302-Weiterleitung beantwortete. Statt auf einen weiteren Webserver zu verweisen, wurden Anfragen über die URL file:// an einen SMB-Server weitergeleitet. Dort versuchte sich der Rechner des Opfers automatisch zu verbinden.

Die Weiterleitung auf eine Datei-URL stellen zahlreiche APIs in der Windows-Bibliothek Urlmon.dll zur Verfügung. Nicht wenige Anwendungen greifen auf diese APIs zu, darunter die Aktualisierungsfunktionen in einigen Antivirenprogrammen oder in Apples Software Update. Selbst Microsofts Baseline Security Analyzer ist betroffen. Cylance hat die Schwachstelle in mindestens 31 Anwendungen entdeckt.

Umleitungen per Proxy

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Um die Schwachstelle auszunutzen, müssen Angreifer Zugriff auf zumindest Teile des Netzwerkverkehrs eines Opfers haben. Die Experten bei Cylance gehen davon aus, dass speziell präparierte Werbung einen möglichen Angriffspunkt darstellt. Auch in offenen WLANs lässt sich Redirect to SMB leicht ausnutzen. Cylance greift in ihren Beispielen auf frei erhältliche Werkzeuge wie Zarp oder MITMProxy zu, um etwa per ARP oder DNS Cache Poisoning den Datenverkehr eines Opfers auf einen präparierten SMB-Server umzuleiten.

Das bei SMB-Servern gängige Authentifizierungsverfahren NTLMv2 (NT LAN Manager) verschlüsselt die übertragenen Passwörter. NTLMv2 wurde bereits 1998 entwickelt. Mit aktueller Hardware könnten so verschlüsselte Passwörter aber inzwischen recht schnell entschlüsselt werden, schreiben die Cylance-Forscher in ihrer Analyse. Ausgehend von den bei Oclhashcat veröffentlichten Benchmarks reichen GPUs im Wert von 3.000 US-Dollar, um achtstellige alphanumerische Passwörter bei Brute-Force in etwa 9,5 Stunden zu knacken.

Cylance hat die betroffenen Hersteller bereits informiert. Bis die Schwachstellen behoben werden, raten die Experten die von SMB genutzten Ports TCP 139 und 445 in Firewalls zu blockieren, um ausgehende Verbindungen zu verhindern. In seiner Warnung rät das Cert zudem, die Gruppenrichtlinien für NTLMv2 anzupassen oder ganz darauf zu verzichten und stattdessen das sicherere Kerberos für die Authentifizierung zu verwenden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


ratzeputz113 15. Apr 2015

Ich würde jetzt mal ganz mutig und locker-flockig sagen: Ja, ist mir bewusst.* Worauf...

whitbread 14. Apr 2015

Also wer smb Authentifizierung als sicher erachtet hatte ist selber schuld imho; ebenso...

pythoneer 14. Apr 2015

Das ist leider falsch. Wir haben 26 Klein- und 26 Großbuchstaben und 10 Ziffern von 0...

ratzeputz113 14. Apr 2015

Full Ack

bitshift 14. Apr 2015

Danke, das Paper ist interessant, gleich mal nach dem Vortrag suchen. Scheint aber auf...



Aktuell auf der Startseite von Golem.de
Cyrcle Phone 2.0
Rundes Smartphone soll 700 Euro kosten

Dass Mobiltelefone in den letzten 20 Jahren meist nicht rund gewesen sind, scheint einen guten Grund zu haben, wie das Cyrcle Phone 2.0 zeigt.

Cyrcle Phone 2.0: Rundes Smartphone soll 700 Euro kosten
Artikel
  1. A New Beginning: Jetzt wird Outcast wirklich fortgesetzt
    A New Beginning
    Jetzt wird Outcast wirklich fortgesetzt

    Rund 22 Jahre nach dem Start des ersten Teils gibt es die Ankündigung von Outcast 2 für Xbox Series X/S, Playstation 5 und Windows-PC.

  2. Bundesinnenministerium: Nur jede neunte Verwaltungsleistung ist digitalisiert
    Bundesinnenministerium
    Nur jede neunte Verwaltungsleistung ist digitalisiert

    Meldebescheinigungen oder Baugenehmigungen warten weiter auf die Digitalisierung.

  3. Smartphones: Huawei versucht nicht mehr, die besten Produkte zu machen
    Smartphones
    Huawei versucht nicht mehr, die besten Produkte zu machen

    Das Handelsembargo der USA gegen Huawei zeigt Wirkung, wenn auch anders als geplant.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • iPhone 13: jetzt alle Modelle vorbestellbar • Sony Pulse 3D PS5-Headset Midnight Black vorbestellbar 89,99€ • Breaking Deals mit Club-Rabatten (u. a. Samsung 65" QLED 1.189,15€) • WD Black SN750 1TB 96,99€ • Amazon Exklusives in 4K-UHD • GP Anniversary Sale: History & War [Werbung]
    •  /