RID Hijack: Microsoft übersieht Sicherheitslücke in Windows (Update)
CSL bereits Ende letzten Jahres festgestellt hat, können Administratorenrechte von Versierten auf beliebige Accounts übertragen werden. Diese Sicherheitslücke gibt es nach CSL-Erkenntnissen bereits seit Windows XP.
Sebastian Castro von CSL hat nun zu Demonstrationszwecken ein Metasploit-Tool entwickelt, das er RID Hijack getauft hat. Gehackt in sechs Schritten: Der RID Highjack im Detail Damit können Angreifer auf Benutzerkonten zugreifen und diesen beliebige Benutzerrechte über die RID zuweisen. Metasploit war ursprünglich als Open-Source-Projekt für Penetrationstests gestartet, das Sicherheitslücken aufdecken sollte. Gleichwohl konnte es aber auch für Angriffe auf andere Systeme missbraucht werden.
"Soweit ich weiß, ist diese Vorgehensweise nicht ordentlich dokumentiert, trotz ihrer erstaunlichen Effektivität", so Sebastian Castro. Noch seien nämlich keine Angriffe über diese Methode bekannt. Neben den Windows-Versionen Windows XP bis Windows 10 seien auch die Windows Server 2003 bis 2016 betroffen. Eine entsprechende Anfrage bei Microsoft vor bereits zehn Monaten sei unbeantwortet geblieben.
Allerdings gibt es erste Hinweise auf eine Entschärfung der Bedrohung. So könnte nach Informationen von Günter Born die Anpassung der Baseline GPO (Group Policy Object) eine wirksame Schutzmaßnahme sein. In diesen Gruppenrichtlinien sind neben zahlreichen weiteren Parametern auch Sicherheitsrichtlinien gespeichert, die je nach Bedrohungslage veränderbar sind.
Update 18:30 Uhr:
Entgegen vorangegangener Informationen erlaubt es die Technik nicht in jedem Fall einen Computer aus der Ferne zu infizieren, es sei denn, dieser Computer war törichterweise ohne Passwort im Internet unterwegs.
Aber in Fällen, in denen ein Hacker auf einem System Fuß fasst - entweder über Malware oder durch Brute-Force eines Kontos mit einem schwachen Passwort - kann der Hacker so Administratorrechte für ein kompromittiertes Low-Level-Konto vergeben und eine permanente Hintertür mit vollem Systemzugriff auf einem Windows-PC erhalten. /Update Ende
Allen Datensicherungsmaßnahmen in der Vergangenheit zum Trotz hat Microsoft in Windows offenbar eine erhebliche Sicherheitslücke schlicht übersehen: Wie das kolumbianische Cybersecurity-Unternehmen Registrierungsnummer als Einfallstor
Die Schwachstelle liegt im sogenannten Security Identifier (SID), der Registrierungsnummer der verschiedenen Nutzer auf einem Windows-System. Die letzten drei Stellen der ansonsten identischen Zahlenreihe werden Relative Identifier (RID) genannt und definieren die Zugriffsrechte der Nutzer. So endet die SID des Administrators standardmäßig mit der RID 500, während der Gast die RID 501 hat.Sebastian Castro von CSL hat nun zu Demonstrationszwecken ein Metasploit-Tool entwickelt, das er RID Hijack getauft hat. Gehackt in sechs Schritten: Der RID Highjack im Detail Damit können Angreifer auf Benutzerkonten zugreifen und diesen beliebige Benutzerrechte über die RID zuweisen. Metasploit war ursprünglich als Open-Source-Projekt für Penetrationstests gestartet, das Sicherheitslücken aufdecken sollte. Gleichwohl konnte es aber auch für Angriffe auf andere Systeme missbraucht werden.
Selbst Hacker ahnten offenbar nichts
Nach Erkenntnissen der Datenschutzfirma kann die RID aller Accounts auf einen anderen Nutzer erfolgen. So werden die Benutzerrechte des angegriffenen Kontos auf den Angreifer übertragen, selbst wenn das Nutzerkonto bereits deaktiviert ist. Zudem kann sich der Angreifer mit den Nutzerdaten des Opfers registrieren, um autorisierten Zugang als der gekidnappte Nutzer zu erhalten. Jede ausgeführte Aktivität des Angreifers wird in der Log-Datei des übernommenen Nutzers registriert. Der gesamte Vorgang lässt sich nach CSL-Erkenntnissen leicht automatisieren."Soweit ich weiß, ist diese Vorgehensweise nicht ordentlich dokumentiert, trotz ihrer erstaunlichen Effektivität", so Sebastian Castro. Noch seien nämlich keine Angriffe über diese Methode bekannt. Neben den Windows-Versionen Windows XP bis Windows 10 seien auch die Windows Server 2003 bis 2016 betroffen. Eine entsprechende Anfrage bei Microsoft vor bereits zehn Monaten sei unbeantwortet geblieben.
Allerdings gibt es erste Hinweise auf eine Entschärfung der Bedrohung. So könnte nach Informationen von Günter Born die Anpassung der Baseline GPO (Group Policy Object) eine wirksame Schutzmaßnahme sein. In diesen Gruppenrichtlinien sind neben zahlreichen weiteren Parametern auch Sicherheitsrichtlinien gespeichert, die je nach Bedrohungslage veränderbar sind.
Update 18:30 Uhr:
Entgegen vorangegangener Informationen erlaubt es die Technik nicht in jedem Fall einen Computer aus der Ferne zu infizieren, es sei denn, dieser Computer war törichterweise ohne Passwort im Internet unterwegs.
Aber in Fällen, in denen ein Hacker auf einem System Fuß fasst - entweder über Malware oder durch Brute-Force eines Kontos mit einem schwachen Passwort - kann der Hacker so Administratorrechte für ein kompromittiertes Low-Level-Konto vergeben und eine permanente Hintertür mit vollem Systemzugriff auf einem Windows-PC erhalten. /Update Ende
Thema:
Neueste Downloads
Jetzt als Amazon Blitzangebot
Ab 08:29 Uhr Goldge 24Pcs Schlüsselanhänger Taschenlampe Mini Lampe 4cm
Original Amazon-Preis
14,99 €
Blitzangebot-Preis
13,59 €
Ersparnis zu Amazon 9% oder 1,40 €
Beliebt im Preisvergleich
- Antivirus:
Neue Nachrichten
Beliebte Nachrichten
Videos
Sebastian Kuhbach
Redakteur bei WinFuture
Ich empfehle ...
- Amazon Fire TV: Neue Funktion macht den Stick "unbrauchbar"
- Windows 11: Prozesse lassen sich bald direkt in der Taskleiste beenden
- Media Markt: Samsung MicroSD-Karte mit 256 GB für nur 18,99 Euro
- Nur heute bei Media Markt: Samsung Galaxy Buds Live für 64 Euro
- Günstiges Bundle: Xbox Series S + Hogwarts Legacy für nur 299 Euro
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen