Forscher des Unternehmens Secura haben eine neue Schwachstelle in Microsofts Windows-Betriebssystem entdeckt und auch gleich per Proof-of-Concept gezeigt, wie diese sich ausnutzen lässt. Die Lücke (CVE-2020-1472) ist ernst, Microsoft bezeichnet sie selbst als "kritisch" und im Common Vulnerability Scoring System erhielt sie 10 von 10 Punkten.

Privatnutzer dürfen sich allerdings entspannen, denn Windows Server wird kaum bis gar nicht privat eingesetzt. Denn die Angriffsmethode ist vor allem dazu geeignet, (Firmen-)Netzwerke zu unterwandern und kann Cyberkriminellen die Arbeit dabei massiv erleichtern, dokumentiert Ars Technica.

Blitzschnelle Übernahme

Ist es einem Angreifer einmal gelungen, auf einem System Fuß zu fassen – etwa weil ein Opfer auf einen Link zu einer präparierten Website geklickt hat – so kommt die neue Attacke ins Spiel. Von der Erstkompromittierung ausgehend war es bisher ein recht mühseliger und langwieriger Weg für die Täter, an wichtige Ressourcen zu kommen, zumal Mitarbeiter auf Firmen-PCs häufig nur über eingeschränkte Rechte verfügen.

Der neue Exploit ermöglicht es aber, sofort die Kontrolle über das Active Directory zu übernehmen. Der Angreifer kann sich also sofort volle Rechte (Domain Admin) sichern und diese dann auch nutzen, um andere Geräte anzugreifen und sich im Netzwerk auszutoben. Eine Authentifizierung ist dafür nicht nötig.

Die Schwachstelle befindet sich im Netlogon-Protokoll, das Windows unter anderem dafür nutzt, Netzwerklogins abzuwickeln. Doch dieser Prozess lässt sich mit manipulierten Nachrichten aushebeln. Dazu werden in bestimmte Teile dieser Nachrichtenpakete Nullen eingefügt. Auch Sicherheitsexperten anderer Unternehmen konnten verifizieren, dass dieser Angriff funktioniert. Das Problem hat auch die US-Agentur für Cybersicherheit dazu veranlasst, Warnungen auszusenden.

Patch seit August verfügbar

Wer seine Windows-Installationen am neuesten Stand hält, sollte aber nichts zu befürchten haben. Laut Microsoft wurde das Leck bereits gestopft und ein entsprechendes Update im August verteilt. Wer die Aktualisierungen aus dem Vormonat noch nicht eingespielt hat, sollte dies schleunigst nachholen.

Eine genauere Beschreibung zur Schwachstelle und zum Proof-of-Concept-Angriff hat Secure in einem Whitepaper zugänglich gemacht. (red, 16.9.2020)