• Entwicklung/Architektur
  • Methoden
  • Programmiersprachen
• Betrieb
  • Künstliche Intelligenz
  • Datenbanken
  • Server
  • IT-Security
  • Speicher
  • Netzwerke
  • Virtualisierung
  • Verfügbarkeit
• Management und Recht
  • Projektmanagement
  • Digitalisierung
  • IT-Recht
  • IT-Selbständige
• Aktuelles
• Termine
• IT-Jobs

☰

• Entwicklung
• Betrieb
• Management und Recht
• News
• IT-Jobs
• Newsletter

27. März 2015

Microsoft Windows: Neue Sicherheitslücke - So schützen Sie sich!

Das Sicherheitsteam "Project Zero" von Google konnte mit einem eigenen Exploit nachweisen, dass man sich mit einem beliebigen Windows-Account Systemrechte aneignen kann.

Microsoft ist bereits seit Monaten über diese Sicherheitslücke informiert. Doch der Hersteller hat entschieden, keinen Patch dazu herauszugeben. Der Security-Experte James Forshaw hat daher seine Informationen zum Sicherheitsproblem und dazu auch gleich einen Exploit veröffentlicht. 

Führt man diesen Exploit mit normalen Nutzerrechten aus, so startet lokal ein WebDAV-Server. Über eine Hintertüre wird anschließend der Windows Defender dazu gebracht, die Ressource \\127.0.0.1\abc zu prüfen. Der Defender selbst läuft unter "SYSTEM" und authentifiziert sich beim Server. Dazu wird unter anderem ein NTLM-Hash versendet, der es erlaubt, mit Systemrechten zuzugreifen. Darüber kann ein Angreifer dann beispielsweise die Daten anderer Benutzer lesen oder Programme im Autostart unterbringen.

Bereits im Dezember 2014 wurde Microsoft über die Sicherheitslücke informiert. Der Hersteller argumentierte, dass SMB-Signing und die SPN-Validierung diese Form der Rechteübernahme verhindern können. Das Problem: Windows hält diese Funktionen zwar vor, doch sie müssen erst aktiviert werden. Unternehmen können dies zentral über Gruppenrichtlinien durchführen. Privatleute müssen die Sicherheitsfunktionen manuell aktivieren.

SMB-Signing aktivieren

Server Message Block (SMB) ist die Grundlage der Datei- und Druckerfreigabe bei Microsoft-Betriebssystemen.  Beim SMB Message Signing erhält jedes Paket eine Signatur. Server und Client können so prüfen, ob Pakete tatsächlich vom richtigen Kommunikationspartner stammen. So sollen eigentlich Man-in-the-Middle-Attacken verhindert werden.

Wird SMB-Signing aktiviert, so muss zunächst eine SMB-Signatur zwischen Client und Server ausgehandelt werden. Diese Signatur sichert die weitere Kommunikation ab. Aber: Die Systemleistung kann durch die Verwendung einer SMB-Signatur bei Dateidiensttransaktionen signifikant verringert werden.

Der Registry Key
HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature 
steuert die Funktion.

Value Name: RequireSecuritySignature
Data Type: REG_DWORD
Data: 0 (disable), 1 (enable)

Die Einstellung von RequireSecuritySignature muss mit dem Wert "enable" aktiviert werden.

SPN-Validierung

Mit der Validierung der Service Principal Names (SPN) können Sie freigegebene Verzeichnisse und Drucker schützen, auf die mittels SMB zugriffen wird. Sowohl SMB1 als auch SMB2 sind davon betroffen. Der Default-Wert dieser Einstellung ist "Off". Zusätzlich gibt es "Accept if provided by client" und "Required from client". Die letztgenannte Einstellung zwingt die Kommunikationspartner dazu, einen SPN-Namen während der Herstellung der Session auszutauschen.

Der Registry Key ist unter MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\SmbServerNameHardeningLevel zu finden. 

Die Einstellung von SmbServerNameHardeningLevel muss mit dem Wert "Required from client" aktiviert werden.