Erschreckend einfach: Windows-Login ist in 20 Sekunden geknackt

Der Sperrbildschirm ist wohl für viele Menschen die Methode, beim Verlassen des Rechners für ein Gefühl der Sicherheit zu sorgen. Wie ein Hacker jetzt zeigt, lässt sich der Schutzmechanismus aber mit einem relativ einfachen Trick sozusagen im ... mehr... Windows 10, passwort, Login, kennwort Windows 10, passwort, Login, kennwort Windows 10, passwort, Login, kennwort

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
funktioniert das auch bei Domänen Logins? aber für sowas sind bei uns sowieso alle USB Ports gesperrt :)
 
@jann0r: Hm, gute Frage. Sollte aber vom internen DHCP Server geblockt werden. Kann sowas mangels vorhandener Infrastruktur leider nicht mehr testen.
 
@jann0r: zudem würde ein weiteres Netzwerk Device automatisch den Netzwerk Port sperren und somit gar keine Konfiguration zulassen, zumindest wenn man etwas auf Sicherheit setzt
 
@jann0r: naja, Microsoft, DNS und DHCP sind so ein Kapitel für sich.
 
@jann0r: Welches Feature meinst du damit?
 
@NWZ: was meinst du? Port security?
 
Warum sollte Windows ein neu hinzugefügtes Netzwerkgerät einfach so als standardgateway verwenden, wenn eine funktionierende Netwerzverbindung an einem bereits vorhandenen Gerät besteht?
 
@Jazoray: das ist bei uns tatsächlich auch schon einmal passiert. Da hatte jemand auf seinem Notebook einen DHCP Server laufen, und nachdem der sich ins Netzwerk gestöpselt hatte, hat der alle IP Adressen im Subnetz vergeben. Mein Kollege ist bald wahnsinnig geworden bevor er den Fehler gefunden hatte.
 
@DioGenes: das ist ein völlig anderes thema
 
@0711: Aber es ging doch um GW und DHCP. Wenn in einem Netzwerk plötzlich ein neuer DHCP auftaucht, dann kann er ad hoc als GW fungieren. Ich schätze, dass es da genau so läuft. USB Stick dran, Linux bootet (inkl. DHCP-Server, evtl. auch noch DNS), Windows erkennt einen neuen DHCP, Gateway und nutzt diesen.
 
@DioGenes: Nö, das ist nicht dasselbe wie wenn 2 DHCP Server in einem Netzwerk existieren...das trifft hier halt nicht zu.
Es wird hier ein zusätzliches interface in windows integriert (ein usb Netzwerk adapter), dieses interface ist mit dem "Netzwerk" verbunden welches den "bösen" dhcp server beinhaltet. Die sonstigen Schnittstellen (also alle die nicht der usb stick sind) welche in anderen netzwerken hängen werden von diesem DHCP server nicht tangiert...
 
@0711: Na ja, kommt ja in etwa auf das Gleiche raus...
 
@Jazoray: Das ist das gleiche wie mit PCs, die über mehrere Netzwerkadapter verfügen (LAN+WLAN). Ich bin mit meinem Laptop auf beiden Wegen mit dem Netzwerk verbunden, möchte aber natürlich wenn das Kabel dran ist auch sämtlichen Datenverkehr darüber laufen lassen. Von sich aus wählt Windows per Zufall oder irgendwelcher anderer Hardwarekriterien (Seriennummer, MAC oder alphabetisch nach Name, k.A. ^^) den Adapter aus, über den alles läuft. Man kann aber manuell die Priorität festlegen und so einfach die LAN-Verbindung an erste Stelle setzen.
 
@mh0001: Hmmm, bei mir ging das automatisch (Win 10). Was bei mir das Problem war, dass ich das WLAN für WoL gebraucht habe, da es über den USB-LAN Anschluss nicht ging und Windows die WLAN Verbindung gerne getrennt hat.

Aber WENN beide verbunden waren, hat er immer das LAN benutzt. Konnte man gut im Task-Manager verfolgen.

Auch für mein Problem gab es eine Lösung. Leider nur über die Registry.
 
@mh0001: Windows wählt nicht per Zufall, sondern über die "Verbindungskosten". Eine Netzwerkverbindung wird von Windows mit einem Kostenwert bewertet, der festlegt, wie gut die Verbindung ist. Je niedriger der Kostenwert, umso besser ist es, diese Verbindung zu verwenden. Eigentlich sollten kabellose Verbindungen immer höhere Kosten als kabelgebundene Verbindungen haben.

Du kannst Dir die Kosten in der Routing-Tabelle anschauen. Einfach mal in der Kommandozeile route print ausführen. Der Metrik-Wert gibt die Kosten an.
 
@HeadCrash: Das gilt aber nur für Routen in andere Netze. Mit zwei Adaptern in ein Netz hat das nichts zu tun und auch nichts mit Kosten. Das Default Gateway kann es nur einmal geben, denn das ist die Route für das Zielnetz 0.0.0.0. Linux meines Wissens lässt auch in der Oberfläche nur ein Gateway zu, unabhängig von Netzwerkadaptern. Das liegt an der etwas seltsamen Lösung von Windows, wo man pro Adapter ein Gateway festlegen kann. Im Endeffekt ist es Zufall, welcher Adapter verwendet wird, sobald einer hinzugefügt wird. Lediglich über die erweiterten Einstellungen lässt sich eine Reihenfolge der Adapterpriorisierung festlegen.
 
@AcidRain: Also ich hab diese Probleme bisher immer über die Routing-Tabelle gelöst, da die adapterübergreifend ist und auch das Interface beinhaltet. Damit kann man also ganz gezielt das Standardgateway an ein Interface binden.
 
@AcidRain: es ist kein zufall welches verwendet wird...dafür gibt es bei mehreren gateways Metriken oder bei mehreren Verbindungen Priorisierungen der verbindung
 
@0711: Wenn Windows am Login-Screen hängt und ein ein Adapter hinzugefügt wird weißt du welches Gateway verwendet wird?
 
@AcidRain: wenn man die netzwerkumgebung/konfig kennt, ja

allerdings tut diese frage nichts zur Sache, "zufall" ist es nämlich so oder so nicht...ob man das nun am loginscreen weiß oder nicht
 
@0711: OK, wenn du dich jetzt an dem Wort Zufall aufhängst: Im Normalfall weiß man nicht, welcher Adapter priorisiert wird, wenn er während der Laufzeit hinzugefügt wird, solange man nicht nachschaut.
 
@AcidRain: naja das wort zufall ist einfach falsch

bei win10 müsste ich schauen aber bis windows 8.1 wars jedenfalls so

lan gewinnt vor wlan (adapterprio)
neues lan gewinnt vor altem lan (adapterprio)
 
@Jazoray: prinzipiell kann jede Verbindung ihr eigenes standardgateway haben...das was ausschlaggebend ist ob diese Verbindung nun bevorzugt genutzt wird ist die Priorisierung der Verbindung.
Soweit ich weiß werden standardmäßig kabelverbindungen höher priorisiert als wlan Verbindungen was man aber ändern kann...kabel + kabel Verbindungen wird die "älteste" als höchste priorisiert.

edit
nicht die älteste, sondern die neueste gewinnt

was ich nicht ganz kapier ist woher die logindaten nun kommen
 
neu ist das nicht, ging schon 2008 oderso mit Firewire, da ging es jedoch über DMA und nicht Netzwerk.
 
@kelox: Dann ist es doch neu.
 
@adrianghc: Ja, das es über USB mit Netzwerk geht, das is neu, da hast du recht :). Aber nicht neu ist, dass man mit Zugang zum Rechner das Passwort/Hash bekommen kann.
 
@kelox: Das Prinzip ist aber ein vollkommen anderes. Bei der DMA-Attacke wurde direkt auf den Speicher des Systems zugegriffen (DMA = Direct Memory Access) und so ein im Speicher befindlicher Hash ausgelesen.

Der neue Angriff funktioniert vermutlich aufgrund eines Convenience-Features in Windows. Ich habe jetzt die Anleitung nur überflogen und man müsste ex mal genauer testen. Ich vermute aber, dass es nur funktioniert, weil Windows standardmäßig Single Sing-On im Intranet aktiviert hat. Sprich: wenn eine Netzwerkressource, die zur lokalen Intranet-Zone gezählt wird, nach Credentials verlangt, sendet Windows automatisch die NTLM-Credentials, also den Passwort-Hash. Würde man diese Option deaktivieren oder auf Kerberos statt NTLM umstellen, dürfte das wahrscheinlich nicht funktionieren.

Auf der anderen Seite darf man sich aber fragen, warum eine solche Konfiguration vom System unbedingt im gesperrten Zustand durchgeführt werden muss.
 
@HeadCrash: "Auf der anderen Seite darf man sich aber fragen, warum eine solche Konfiguration vom System unbedingt im gesperrten Zustand durchgeführt werden muss."
Windows gibt u.a. den status der internetkonnektivität auch im gesperrten zustand an...kommt hier nun ein neuer proxy/wpad konfig die eine Authentifizierung für die Internetverbindung anfordert ist das "nötig" um die internetkonnektivität korrekt anzuzeigen

wobei ich das in der quelle immer noch nicht ganz kapiert hab woher die auth Infos nun kommen
 
@HeadCrash: Normalerweise verwendet Windows seit 2003 Kerberos und kein NTLM mehr. Von daher versthe ich die "neuheit" dieses Hacks nicht. Das Challenge-Response-Authentifizierung lücken hat ist seit 95 bekannt. Für das beschriebene Szenario gibt es seit 2013(iirc) entsprechende Tools. Da ist absolut nix neues dran.
 
@ThreeM: Windows KANN Kerberos, aber die meisten Applikationen nutzen noch NTLM.
 
@HeadCrash: Indeed. Find das jetzt dennoch nicht besonders "neu" ;)
 
Beim Titel dachte ich erst... Scheiße wieder so ein Semper Video Müll. Danke das es nicht so war. ;)
 
Das muß ja funktionieren - wie soll denn sonst die NSA in die Rechner reinkommen? ;-))
 
@Zonediver: Waterboarding
 
@JacksBauer: Asoooo jaaaa - na klar, das würde auch gehn ;-)))
 
Konboot! Kostet ca. 5 Sekunden Zeit.
 
@ibk77: Welches kon-Boot ist denn das "richtige"?
 
So eine not-news. Das was der "Securityforscher" da gemacht hat ist seit Windows 95 mehr oder weniger bekannt. Daher gibt es ja Kerberos und NTLM stirbt nach und nach. Die Lücke die er nutzt ist bei Challenge-Response-Auth bekannt. Hab mich schon bei Heise gewundert wieso die das bringen. Naja Sommerloch.
 
@ThreeM: naja, neu daran ist, dass man die dazu notwendige Technik auf einem USB Stick unterbringen kann.

Es wäre schön, wenn man generell auf Kerberos setzen könnte. Das verhindern aber meist Nicht-Windows-Geräte im Netz wie MFPs oder NAS Boxen. Hier im heimischen Netz ist es Kodi auf dem FireTV, welches dann halt nicht mehr zum Server verbinden kann. Also bleibt NTLM weiter an. :(
 
geht auch bei mac und linux. max. 1 minute.
warum muss immer auf ms rumgehackt werden ?
 
@M. Rhein: Oh ein "Experte". Wie geht das denn genau?
 
@qmert: Im verlinkten newstext wird erklärt, dass der Hack für Windows und Mac OS der neusten Generation gleichermassen funktioniert. in Winfurutre wird aber nur Win10 erwähnt. Warum weiss niemand. Link zur News für Faultiere: http://arstechnica.com/security/2016/09/stealing-login-credentials-from-a-locked-pc-or-mac-just-got-easier/
 
@pcbona: Danke für deinen Input. Ich zitiere aus dem letzten Abschnitt meines Beitrags: "Besonders interessant: auch bei einem Mac mit El Capitan-OS konnten Login Credentials entlockt werden - hier fehlen allerdings weitere Vergleichstests um ausschließen zu können, dass die Sicherheitslücke nicht systemspezifisch war".
 
@pcbona: Because it is WINfuture! Otherwise it would be PC-future or sth. else.
 
Wo kann ich bestellen? ^^
 
It's a feature.
 
Auf dem Mac geht es erschreckend einfacher. Ganz ohne USB Stick usw.
- Beim Start Alt+Cmd+R drücken.
- Im Installationsbildschirm das Terminal aus dem Menü Dienstprogramme wählen
- resetpassword tippen und Return
- Und ein super Programm zum zurücksetzen der Passwörter erscheint.

DAS nenn ich erschreckend einfach!!
 
@hwerglmir: ich hoffe das geht nicht auch, wenn ich alles komplett verschlüsselt habe, sonst bekomme ich nen Krampf :/
 
@Angel3DWin: logischer Weise müsste da für den Zugriff die OS X Partition erst entschlüsselt werden - denn sonst hast du auf dessen Inhalte keinen Zugriff mehr.
@hwerglmir: Beachte jedoch, dass nach deinen Schritten der lokale Schlüsselbund ungültig wird - sprich die lokal am Schlüsselbund gespeicherten Passwörter nicht mehr anwendbar sind und neu eingegeben werden müssen. Geht übrigens auch bei Windows (lokales Benutzerkonto erforderlich). Dort musst du eben eine Boot-CD/DVD haben mit etwas wie "NTPWEDIT". da setzt du die Passwörter einfach zurück. Der Unterschied zu OSX ist eben jener, dass MS eine entsprechende PreBoot-Umgebung mit den entsprechenden Tools nicht mitliefert. Hier geht es (in der News) jedoch nicht um das zurücksetzen von Passwörtern sondern schlimmer - und sicherheitsrelevanter: Das auslesen von Passwörtern. Sprich die Benutzer werden es nie merken.
 
@Stefan_der_held: Theoretisch ja, aber wer sagt, dass die Verschlüsselung sicher ist? Sicher bin ich mir seit langem bei wirklich nichts mehr.
 
@Angel3DWin: zur VERSCHLÜSSELUNG habe ich ja nichts gesagt. BTW: wenn du bspw. EFS verwendest unter Windows und setzt das Passwort zurück ohne dass der jeweilige User angebeldet ist: Das EFS Zertifikat geht verloren, die Daten sind nicht mehr zugänglich (es sei denn der User war so schlau und hat das Zertifikat extern noch gespeichert zwecks Wiedereinbinden) :)
 
@Stefan_der_held: ich muss zugeben dass ich Windows einfach normal nutze :D ich hab mit EFS noch nix gemacht :) habe aber auch nix weltgefährliches drauf bzw. irgendwas, was man verbergen müsste oder mir Milliarden durch die Lappen gehen würden, wenn jemand was klaut. Eigentlich will ich nur etwas daddeln, und bissl surfen und was man halt so normal macht ;)
 
@hwerglmir: Du hast den Unterschied zwischen Zurücksetzen" und "Auslesen" offenbar nicht verstanden. Macht ja nix, Hauptsache mit Halbwissen geglänzt.
 
@iPeople: Ja ist klar. Dein Name ist Programm oder? Setz mal die Macbrille ab.
In erster Linie ging es Fuller wohl darum Zugriff auf den Account zu erlangen. Das mit dem Login aushebeln und so.
Der Login lässt sich eben auch diese einfache Weise auf dem Mac aushebeln. Und ganz ehrlich diese Methode find ich deutlich erschreckender.
 
@hwerglmir: dir ist aber entganegn, dass durch das Zurücksetzen, alle am Schlüsselbund angebrachten Keys nutzlos werden bzw. man alles wieder neu eingeben muß.

wenn mann hingegenein PW auslesen kann, dann steht einem wirklich tür und tor auf diesem System offen.
 
Also auf private Dateien, usw. hat man das schon länger mit den verschiedensten Linux Distributionen.
Ging zumindest bei Windows 7 immer sehr leicht mit einer Knoppix Live CD (oder USB Stick), dann davon booten und Zugriff auf die Festplatten (sofern nicht verschlüsselt) ist gegeben.

Keine Ahnung wie das seit Win8 aussieht.
 
DHCP Netzwerke waren schon immer leicht zu Öffnen
die passenden Tools waren schon auf der Windows NT 4.0 Server CD drauf
auf der Windows 2000 Server Enterprise CD wurde die Oberfläche überarbeitet
in sicheren Netzwerken gibt es keine DHCP Server oder Router
 
Was mich mal viel mehr interessieren würde ist: Warum gibt es eigentlich noch keine entsprechende Option in den Betriebssystemen die man auf Wunsch aktivieren kann um nur den Zugriff auf bekannte Hardware-IDs freizugeben oder sonstige USB-Geräte zu sperren?
Ich meine im Grunde ist doch jetzt schon seit Jahren bekannt welche Sicherheitslücken ein USB-Anschluss mit sich bringt. Aber immer hat man nur die Option z.B. den Anschluss ganz zu deaktivieren (wenn es das BIOS zulässt) oder (als Privatanwender ohne irgendwelche Endpoint Securitys Lösungen) mit den Problemen zu leben.

Kann mir da jmd. eine Info geben?

Ich stelle mir immer vor, dass es doch "eigentlich ganz einfach" sein müsste in ein Betriebssystem wie Windows so etwas zu integrieren.
Und da wäre es dann auch egal, ob das nur ein Speicherstick oder sonstwas ist: Wenn Windows ein neues Gerät erkennt muss es der Benutzer erst freigeben.
Weiß da jmd. was?

Danke und Gruß
SchwarzerRiese
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles