zurück zur Übersicht

Sicherheitslücke – Redirect-to-SMB

Sicherheitslücken sollten schnell geschlossen werden, doch manchmal entwickelt sich diese "Lücke" zu einem Grand Canyon. In diesem besonderen Fall ist die Schwachstelle mehr als 18 Jahre bekannt. Hierbei handelt es sich um die "Redirect to SMB" Sicherheitslücke die sämtliche Windows-Versionen betrifft. Dabei ist es möglich durch ein einfaches Anklicken eines Links (z.B. file:\1.1.1.1) die Windows Zugangsdaten preiszugeben und so einem Angreifer in die Hände zu spielen. Mithilfe moderner Hardware ist es dann möglich den Hashwert für das Kennwort zu berechnen und so Zugang zum Netzwerk zu gelangen. Darüber hinaus können durch eine Man-in-the-Middle-Attacke (ARP Cache Poisoning) ganze Anwendungen gezwungen werden die Anmeldedaten an externe SMB Receiver zu schicken.

Erkennen lässt sich diese Schwachstelle nur durch eine gezielte Korrelation der Logs im Netzwerk mit denen der Firewall. Nur so lässt sich auch ein Angriff bzw. das Anklicken und Absenden der Windows Anmeldedaten feststellen.

Das Cyber Security Defense Team der iT-CUBE SYSTEMS AG hat ein verstärktes Aufkommen dieser Angriffe festgestellt und empfiehlt daher den Einsatz eines SIEM-Systems. Unsere Kunden profitieren im Bereich der Korrelation durch die langjährigen Erfahrungen unserer Consultants. Zusammen mit diesem Wissen, versetzen wir unsere Kunden in die Lage (ThreatRadar, ThreatReply) Gefahren und Angriffe frühzeitig zu erkennen und entsprechende Gegenmaßnahmen zu treffen.

Quellen: public_whitepaper.pdf

Schreibe einen Kommentar