RID Hijack: Microsoft übersieht Sicherheitslücke in Windows (Update)

Microsoft, Sicherheitslücke, Schwachstelle, RID Hijack
Folgt man dem kolumbianischen Cybersecurity-Experten Sebastian Castro, sind Windows-Systeme durch eine Sicherheitslücke für Angreifer offen wie ein Scheunentor. Dabei können Hacker selbst Admin-Rechte auf andere Konten übertragen. Microsoft scheint das Problem seit Jahren nicht erkannt zu haben. Allen Datensicherungsmaßnahmen in der Vergangenheit zum Trotz hat Microsoft in Windows offenbar eine erhebliche Sicherheitslücke schlicht übersehen: Wie das kolumbianische Cybersecurity-Unternehmen CSL bereits Ende letzten Jahres festgestellt hat, können Administratorenrechte von Versierten auf beliebige Accounts übertragen werden. Diese Sicherheitslücke gibt es nach CSL-Erkenntnissen bereits seit Windows XP.

Registrierungsnummer als Einfallstor

Die Schwachstelle liegt im sogenannten Security Identifier (SID), der Registrierungsnummer der verschiedenen Nutzer auf einem Windows-System. Die letzten drei Stellen der ansonsten identischen Zahlenreihe werden Relative Identifier (RID) genannt und definieren die Zugriffsrechte der Nutzer. So endet die SID des Administrators standardmäßig mit der RID 500, während der Gast die RID 501 hat.

Sebastian Castro von CSL hat nun zu Demonstrationszwecken ein Metasploit-Tool entwickelt, das er RID Hijack getauft hat. RID HijackGehackt in sechs Schritten: Der RID Highjack im Detail Damit können Angreifer auf Benutzerkonten zugreifen und diesen beliebige Benutzerrechte über die RID zuweisen. Metasploit war ursprünglich als Open-Source-Projekt für Penetrationstests gestartet, das Sicherheitslücken aufdecken sollte. Gleichwohl konnte es aber auch für Angriffe auf andere Systeme missbraucht werden.

Selbst Hacker ahnten offenbar nichts

Nach Erkenntnissen der Datenschutzfirma kann die RID aller Accounts auf einen anderen Nutzer erfolgen. So werden die Benutzerrechte des angegriffenen Kontos auf den Angreifer übertragen, selbst wenn das Nutzerkonto bereits deaktiviert ist. Zudem kann sich der Angreifer mit den Nutzerdaten des Opfers registrieren, um autorisierten Zugang als der gekidnappte Nutzer zu erhalten. Jede ausgeführte Aktivität des Angreifers wird in der Log-Datei des übernommenen Nutzers registriert. Der gesamte Vorgang lässt sich nach CSL-Erkenntnissen leicht automatisieren.

"Soweit ich weiß, ist diese Vorgehensweise nicht ordentlich dokumentiert, trotz ihrer erstaunlichen Effektivität", so Sebastian Castro. Noch seien nämlich keine Angriffe über diese Methode bekannt. Neben den Windows-Versionen Windows XP bis Windows 10 seien auch die Windows Server 2003 bis 2016 betroffen. Eine entsprechende Anfrage bei Microsoft vor bereits zehn Monaten sei unbeantwortet geblieben.

Allerdings gibt es erste Hinweise auf eine Entschärfung der Bedrohung. So könnte nach Informationen von Günter Born die Anpassung der Baseline GPO (Group Policy Object) eine wirksame Schutzmaßnahme sein. In diesen Gruppenrichtlinien sind neben zahlreichen weiteren Parametern auch Sicherheitsrichtlinien gespeichert, die je nach Bedrohungslage veränderbar sind.

Update 18:30 Uhr:
Entgegen vorangegangener Informationen erlaubt es die Technik nicht in jedem Fall einen Computer aus der Ferne zu infizieren, es sei denn, dieser Computer war törichterweise ohne Passwort im Internet unterwegs.

Aber in Fällen, in denen ein Hacker auf einem System Fuß fasst - entweder über Malware oder durch Brute-Force eines Kontos mit einem schwachen Passwort - kann der Hacker so Ad­mi­nis­tra­tor­rechte für ein kompromittiertes Low-Level-Konto vergeben und eine per­ma­nen­te Hintertür mit vollem Systemzugriff auf einem Windows-PC erhalten. /Update Ende Microsoft, Sicherheitslücke, Schwachstelle, RID Hijack Microsoft, Sicherheitslücke, Schwachstelle, RID Hijack
Diese Nachricht empfehlen
Kommentieren13
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Top Rabatte auf CTEK Connect 2.5M Extension: Verlängern Sie die Reichweite Ihres CTEK LadegerätsTop Rabatte auf CTEK Connect 2.5M Extension: Verlängern Sie die Reichweite Ihres CTEK Ladegeräts
Original Amazon-Preis
17,35
Im Preisvergleich ab
14,98
Blitzangebot-Preis
12,69
Ersparnis zu Amazon 27% oder 4,66

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden