Sicherheitslücke in Windows und zahlreichen Programmen? Microsoft bleibt cool

Spezialisten behaupten, eine kritische Lücke in Windows und über 30 Programmen gefunden zu haben. Die Forscher von Cylance haben ihre Entdeckung „SMB Redirect“ getauft und warnen davor, dass es damit möglich sei, Login-Daten und weitere sensible Informationen abzugreifen.
Microsoft bleibt in einer ersten Stellungnahme jedoch ganz gelassen und sagt, es müssten mehrere Faktoren zusammen kommen. Das Szenario sei sehr speziell und die Gefahr, dass es tatsächlich zu erfolgreichen Angriffen mit dieser Methode kommen könnte, entsprechend gering.

Die mutmaßliche Gefahr steckt in SMB (Server Message Block), einer Windows-Komponente die unter anderem für Netzwerkfreigaben verwendet wird. Sobald eine URL mit den Zeichen „file://“ beginnt, geht Windows davon aus, dass es sich um eine Dateifreigabe handelt und reicht Login-Informationen an den Server weiter. Dieses Verhalten steckt in allen Windows-Versionen einschließlich Windows 10.

Hacker könnten nun diese Informationen abgreifen und versuchen, das verschlüsselt übertragene Kennwort zu entschlüsseln. Jedes achtstellige Kennwort könne mit entsprechend leistungsfähiger Hardware in einem halben Tag geknackt werden, merkt Cylance in diesem Zusammenhang an (was natürlich keineswegs eine neue Erkenntnis ist).

In ihrem Szenario gingen die Forscher aber noch weiter: Sie setzten einen Webserver auf, der eine gewöhnliche HTTP-Anfrage auf einen SMB-Server umleitete. Da es sich bei dem Link um eine in einen Chat gepostete Bilddatei handelte, wurde automatisch versucht, eine Vorschau zu laden. In diesem Fall lief der Angriff also ohne Zutun des Opfers ab. Über eine „Man in the Middle“ Attacke zwischen HTTP- und SMB-Server gelangten die Forscher an die (immer noch verschlüsselten) Login-Informationen.

Um den Angriff in dieser Form erfolgreich durchführen zu können, müsste der Angreifer allerdings die Kontrolle über „einige Komponenten des Netzwerkverkehrs“ des Opfers haben, schreibt Cylance und beschreibt das Szenario daher selbst als fortgeschritten und nur für gezielte Angriffe geeignet.

Eventuell ist genau das der Grund, warum Microsoft sich bislang weigert zu reagieren.
Nun wissen wir aus der Vergangenheit, dass eine gelassene Reaktion von Microsoft nicht zwingend bedeuten muss, dass die Lücke auch wirklich harmlos ist. Es gab auch schon Fälle, in denen wenige Tage später dann doch ein Notfall-Patch veröffentlicht wurde.

In diesem Fall könnte es aber tatsächlich sein, dass die Sache heißer gekocht wird, als sie ist. Ein ähnliches Szenario war nämlich schon im Jahr 2009 aufgezeigt worden. Auch damals gab es keine Reaktion seitens Microsoft und in der Folge auch keine „Katastrophe“. Cylance selbst schreibt in seinem Bericht, im Jahr 1997 habe es schon einmal eine vergleichbare Lücke in Windows gegeben, die niemals geschlossen wurde. Von tatsächlichen Konsequenzen ist aber nicht die Rede.

Schützen kann man sich laut Cylance, in dem man die Ports 139 und 445 für ausgehenden Traffic blockt, dann funktionieren allerdings auch ungefährliche SMB-Links nicht mehr.

Wir werden in den kommenden Tagen sicher noch Einiges zu diesem Thema lesen, dann ergibt sich bestimmt ein klareres Bild.

Quelle: Cylance, via Cnet