Der Entwickler Marsh Ray hat in einem Vortrag auf der vergangene Woche zu Ende gegangenen Usenix-Konferenz erneut auf einen seit Langem bekannten, aber unterschätzten Missstand in der Windows-Welt aufmerksam gemacht: In vielen Fällen ist die Authentifizierung mit NTLMv2 unsicher. Angreifer könnten die übertragenen Login-Daten (Credentials) abfangen und für eigene Logins auf Servern missbrauchen – ohne das Passwort zu kennen. Dabei machen sich die Angreifer den Umstand zunutze, dass NTLMv2 die Daten zwar kryptografisch gesichert überträgt, nicht jedoch gegen sogenannte Replay- und Reflection-Attacks gewappnet ist.
Während bei Replay-Attacken der Angreifer Zugriff auf einen Server erhalten kann, sendet etwa bei SMB-Reflection-Attacken der Betreiber eines manipulierten SMB-Servers die NTLM-Login-Credentials eines zuvor auf seinem Server versuchten Logins einfach an sein Opfer zurück. Damit erhält er Zugriff auf dessen PC und kann dort Programme ausführen. Dafür müssen auf dem PC des Opfers allerdings die Ports 139 und 445 erreichbar sein, was etwa der Fall ist, wenn die Datei- und Druckfreigabe im LAN aktiviert ist.
Microsoft hat diesen SMB-Spezialfall Ende 2008, einen weiteren in Zusammenhang mit WinHTTP Anfang 2009 und später zudem für WinINet sowie Telnet mit Patches gelöst. Microsoft selbst benötigte aber sieben Jahre, um das Problem lösen zu können; ein früherer Patch hätte aus damaliger Sicht äußerst negative Folgen für Netzwerkanwendungen gehabt.
Es bleiben jedoch noch zahlreiche Szenarien unbehandelt – insbesondere wenn Nicht-Microsoft-Produkte ins Spiel kommen. Laut Marsh Ray gehören etwa WebKit und Firefox dazu, die NTLM beispielsweise bei der Proxy-Authentifizierung oder beim Login auf Webseiten benutzen. Mozillas Versuch, Replay-Attacken beim Firefox zu verhindern, führte Anfang dieses Jahres jedoch dazu, dass die NTLM-Authentifizierung auf Proxys nicht mehr funktionierte.
Gegenüber heise Security bestätigte Ray zwar nicht, dass er ein konkretes Angriffsszenario selbst durchprobiert habe. Er wies aber darauf hin, dass etwa bei der Kombination Outook Web Access mit dem Internet Information Server oftmals NTLMv2 zum Einsatz komme. Wenn sich ein Nutzer dann über ein öffentlichen WLAN in sein Mailkonto einlogge, könne ein Angreifer die übertragenen Credentials für einen eigenen Login benutzen. Zudem unterstützten viele VPN- und Single-Sign-On-Lösungen die Authentifizierung mit NTLM.
In einem Gastbeitrag auf ZDnet äußerte Ray die Befürchtung, dass nur Wenige die Tragweite des Problems verstehen würden. Sein Eindruck sei, dass nur Penetration-Tester und Entwickler bei einigen Herstellern die Konsequenzen voll erfasst hätten – und einige Cracker. Abhilfe brächte im Moment nur der Umstieg auf andere Authentifizierungsprotokolle wie Kerberos oder die Aktivierung zusätzlicher Sicherheitsfunktionen wie SMB Signing.
Quelle :
www.heise.de
