Schockierende Lücke in Windows entdeckt!

Erst kürzlich haben Sicherheitsforscher von Acros Security einen inoffiziellen Micropatch für eine kritische Zero-Day-Lücke in Windows Server 2012 veröffentlicht. Doch nur wenige Tage später überraschte das gleiche Team mit einem weiteren inoffiziellen Patch, der diesmal mehrere weitverbreitete Desktop- und Serverversionen von Windows betrifft.

Die Sicherheitslücke ermöglicht es Angreifern, NTLM-Anmeldeinformationen zu stehlen, indem sie ahnungslose Benutzer dazu bringen, eine bösartige Datei im Windows Explorer anzuzeigen. Ein einfacher Klick auf einen freigegebenen Ordner oder einen USB-Stick kann bereits ausreichen, um das System zu gefährden. Selbst das Öffnen des Downloads-Ordners, nachdem eine Datei von einer maliziösen Webseite heruntergeladen wurde, kann kritisch sein. Die Forscher sind im Hinblick auf Details zur Schwachstelle zurückhaltend, um das Risiko einer missbräuchlichen Ausnutzung zu minimieren.

Von Windows 7 bis Windows 11 gefährdet

Laut Acros Security sind alle Desktop-Systeme von Windows 7 bis zum neuesten Windows 11 (24H2) und außerdem alle Windows-Server-Versionen von 2008 bis 2022 betroffen. Für diese Versionen haben die Forscher über ihren 0patch-Agenten Micropatches bereitgestellt. Diese Updates bleiben bis zur Veröffentlichung eines offiziellen Patches durch Microsoft kostenlos.

Die Forscher haben die Schwachstelle bereits an Microsoft gemeldet, allerdings gibt es keine Informationen dazu, wann dies geschehen ist. Microsoft äußerte sich gegenüber The Register nur vage und erklärte, man analysiere den Bericht und werde gegebenenfalls Maßnahmen zum Schutz der Kunden ergreifen.

NTLM als veraltetes Protokoll

Fraglich bleibt, ob es einen offiziellen Patch geben wird, da Microsoft NTLM im letzten Sommer als veraltet gekennzeichnet hat und empfohlen hat, auf das sicherere Kerberos umzusteigen. Dennoch ist das veraltete Authentifizierungsprotokoll in vielen Bereichen immer noch in Gebrauch.

Wenn Angreifer im Besitz eines NTLM-Hashes sind, könnten sie das zugehörige Passwort durch Brute-Force-Angriffe ermitteln oder den Hash durch Authentication-Relay-Attacken ausnutzen. Die Acros-Forscher warnen zusätzlich vor weiteren ungesicherten Sicherheitslücken in Windows-Systemen, für die derzeit Micropatches zur Verfügung stehen - darunter drei bekannte Lücken im Zusammenhang mit NTLM, bei denen kein offizieller Patch erwartet wird.

Eine beunruhigende Realität

Eine beunruhigende Realität zeigt sich: 0patch bietet in solchen Fällen eine potenzielle Lösung an. Die Software ermöglicht es, auch Windows-Systeme zu schützen, für die Microsoft keinen Support mehr anbietet. Dies könnte für viele Unternehmen von entscheidender Bedeutung sein, um unentdeckte Sicherheitsrisiken zu minimieren.