Vorsicht Falle! Microsofts ungepatchte Sicherheitsrisiken

Ungepatchte Software und gefährdete Internet-Websites gehören zu den gefährlichsten Cyber-Sicherheitsrisiken für Unternehmen. Die Frage lautet, welche Sicherheitsprobleme hat Microsoft entweder noch nicht gepatcht, wird MS auch voraussichtlich nicht patchen und welche müssen manuell angepasst werden, um sie zu beheben?

Anbieter zum Thema

Admins müssen ungepatchte MS-Sicherheitsrisiken kennen, damit sie auf andere Weise entschärft werden können, bevor Cyberkriminelle sie ausnutzen.
Admins müssen ungepatchte MS-Sicherheitsrisiken kennen, damit sie auf andere Weise entschärft werden können, bevor Cyberkriminelle sie ausnutzen.
(Bild: oz - stock.adobe.com)

Die fortwährenden Anfälligkeiten der Softwarepakete von Microsoft zeigen, wie wichtig es ist, die Systeme regelmäßig zu patchen. Dazu gibt der Hersteller immer wieder Warnungen vor kriminellen Hacker-Attacken aus und stellt entsprechende Sicherheits-Updates zur Verfügung. Damit Hacker nicht zum Ziel kommen, sollten diese Patches möglichst schnell von den Administratoren und Nutzern der Programme auf die Systeme gespielt werden.

Dann ist der Anwender also vollständig gepatcht und vollkommen sicher? Eher nicht. In der Regel werden zwar immer wieder Microsoft-Probleme durch Patches gelöst, jedoch muss das nicht zwingend so sein. Einige der Schwachstellen sind unter anderem Konfigurationsprobleme, die meist nicht gepatcht werden können. Folgende Sicherheitsprobleme hat Microsoft zum Beispiel entweder nur zum Teil oder noch nicht gepatcht oder es war nie beabsichtigt, dass sie gepatcht werden sollen. Solche Sicherheitsprobleme müssen dann nach Möglichkeit manuell angepasst werden, um sie zu beheben.

PrintNightmare

Im Rahmen der monatlichen Updates wurde PrintNightmare bereits zum Teil behoben. Jedoch ist das Sicherheitsrisiko nach wie vor besorgniserregend, da es auf Probleme mit dem Druckspooler-Dienst hinweist, die noch behoben werden müssen. Das rührt daher, dass Hacker bösartige DLL einschleusen könnten, die den Druckspooler-Dienst nutzt, um Kontrolle über einen Rechner oder Netzwerk zu erhalten. Dies kann sowohl zur Ausführung von Remote-Codes als auch zur Erweiterung der Privilegien genutzt werden.

Als Abhilfe für diese oder künftige Schwachstellen im Druckspooler wird eine Deaktivierung des Druckspoolers empfohlen. Für Anwender, die drucken müssen, ist dies natürlich nicht ratsam. Kleiner Tipp: Der Sicherheitsexperte Benjamin Delpy hat einen über das Internet zugänglichen Druckserver entwickelt, der Windows-Systemrechte installiert.

Es stehen auch andere Möglichkeiten zur Verfügung, Hacker-Angriffe auf den Druckerspooler zu verhindern. Beispielsweise könnten Anwender den RPC- und SMB-Verkehr verhindern, indem sie den ausgehenden Port 135 (RPC Endpoint Mapper) und 139/445 (SMB) blockieren. Zudem sollte die Gruppenrichtlinie verwendet werden, um die Server einzuschränken oder sie mit der Option „Paketpunkt und Druck - zugelassene Server“ vollständig zu blockieren.

PetitPotam-Attacke

Zur Durchführung eines klassischen NTLM-Relay-Angriffs werden PetitPotam-Attacken genutzt. Anwender sind potenziell für solche Angriffe ein Ziel, wenn sich Active Directory Certificate Services (ADCS) mit Certificate Authority Web Enrollment oder Certificate Enrollment Web Service im Einsatz befinden.

Microsoft rät dazu, den erweiterten Schutz für die Authentifizierung (EPA) oder die SMB-Signierung zu aktivieren und den veralteten Windows NT LAN Manager (NTLM) nicht mehr zu verwenden. Genau hier liegt der Haken. Es kann durchaus sein, dass NTLM immer noch für eine wichtige Anwendung verwendet wird. Testen ist der Schlüssel zur Auswahl der richtigen Abhilfemaßnahmen.

ADCS - ESC8

Eine zusätzliche Angriffsmöglichkeit, die auf ADCS abzielt, beginnt mit der Webschnittstelle, die standardmäßig eine NTLM-Authentifizierung zulässt und keine Relay-Mitigations verstärkt.

Mithilfe einer solchen Angriffssequenz sind Hacker in der Lage, die Authentifizierung an die Webschnittstelle weiterzuleiten und ein Zertifikat im Namen des weitergeleiteten Kontos anzufordern. Wieder einmal wird NTLM in einem Netzwerk missbraucht, um eine Domäne zu übernehmen.

SeriousSAM

Unzulässige Berechtigungen wie SeriousSAM in verschiedenen Windows 10-Versionen ermöglichen es Angreifer, auf die gespeicherten Passwörter in der SAM-Datei zuzugreifen. Wenn der Rechner läuft, kann die SAM-Datei nicht gelesen werden. Wenn jedoch eine VSS-Kopie des Computers erstellt wird, ist die Kennwortstruktur in der Schattendateikopie sichtbar.

Für eine Problemlösung sollte das Netzwerk durchsucht werden, um zu erkennen, in welchem Ausmaß der User davon betroffen ist. Wobei auch festgestellt wurde, dass nicht alle Installationen davon betroffen sind. Diese Schwachstellen machen deutlich, wie wichtig es ist, dass die IT-Teams auf nicht gepatchte Probleme achten. Eine gute Möglichkeit, sich auf dem Laufenden zu halten, besteht darin, relevante Diskussionen in den sozialen Medien auf Twitter und anderen Foren zu verfolgen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

RemotePotato0

Bei potenziellen Angriffen wie beispielsweise RemotePotato0 handelt es sich um eine Erweiterung der Privilegien vom User zum Domänen-Administrator. RemotePotato0 missbraucht den DCOM-Aktivierungsdienst und löst eine NTLM-Authentifizierung eines beliebigen Users aus, der derzeit auf dem Zielcomputer angemeldet ist.

Dafür sollte ein privilegierter User (Domänen-Admin-User) auf demselben Rechner angemeldet sein. Microsoft gab an, dass das Problem nicht behoben wird und es an den Anwendern läge, zu entscheiden, welche Abhilfemaßnahmen zu ergreifen sind.

SSRF-Schwachstelle

Bei einer Server-Side Request Forgery (SSRF)-Schwachstelle möchte ein Angreifer Microsofts lokales Netzwerk ausspähen. Das heißt, die URL wird nicht gefiltert, was zu einer begrenzten SSRF (Reaktionszeit, Code, Größe bzw. offene Diagrammdaten durchgesickert) führt, die für das interne Portscanning und das Senden von HTTP-basierten Exploits an die entdeckten Webdienste verwendet werden kann.

Ein genauerer Blick auf die Link-Vorschau offenbart eine Spoofing-Schwachstelle. Dabei ist festzustellen, dass das Vorschau-Link-Ziel auf einen beliebigen Ort gesetzt werden kann, unabhängig von Hauptlink, Vorschaubild und -beschreibung, angezeigtem Hostnamen oder On-Hover-Text. Daraus folgt, dass beim Klicken auf die Vorschau ein anderer Link geöffnet wird als vom User erwartet, wodurch der Empfänger Phishing-Angriffen ausgesetzt wird.

(ID:48135500)