Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

27.04.2001 - 

Neues Hackprogramm ermöglicht Verbindungen ohne Passwort

SMB-Relay bringt Windows-Netze in Gefahr

MÜNCHEN (CW) - Ein neues Programm der Hackergruppe "Cult of the dead Cow" erlaubt es böswilligen Anwendern, sich auf beliebigen Rechnern und Domänen in Windows-Netzen ohne Kenntnis von Account und Passwortinformationen einzuloggen und sogar Domain-weit im Kontext des angegriffenen Rechners zu agieren. Von Thomas Springer*

Das Programm SMB-Relay, das Ende März auf der Hackerkonferenz "@lanta.con" vorgestellt wurde und seit einigen Tagen im Internet kursiert, benutzt eine seit langem bekannte Designschwäche in Microsofts Netbios-Protokoll, um als Man-in-the-Middle NT-Logon-Informationen aus der Netzkommunikation zwischen zwei Rechnern herauszufischen. Dieses Vorgehen ist an sich nicht neu und wurde schon vor Jahren von der Hackergruppe L0pht beschrieben. Neu ist indes, dass SMB-Relay nicht nur die verschlüsselte Account-Information abgreift und speichert, sondern über eine virtuelle Adresse sofort eine Netzwerkverbindung mit dem Opfer errichtet.

Account-Informationen gratisDer Angreifer muss also nicht mehr langwierig und unter Umständen erfolglos versuchen, das verschlüsselt übertragene Passwort zu entschlüsseln, sondern ist in Sekundenschnelle mit allen Rechten des Opfers auf dessen lokalem Rechner und in der NT-Domäne angemeldet.

Der Hacker startet dazu das SMB-Relay-Programm auf seinem Rechner und bringt den anzugreifenden Rechner beispielsweise mittels einer HTML-Mail und einem Image-Tag dazu, einen SMB-Verbindungsaufbau zu initiieren. Der angegriffene Rechner versucht dann (erfolglos), eine Netbios-Verbindung zum Angreifer aufzubauen, und gibt dabei alle verfügbaren User-Namen und verschlüsselten Paßwörter des Opfers preis.

An dieser Stelle tritt SMB-Relay mit einer Man-in-the-Middle-Attacke in Aktion: Es nimmt den auf Port 139 ankommenden Netbios-Netzverkehr an, weist die eingehende Verbindung ab, speichert aber alle vom Opfer übertragenen Account-Informationen, um sich gleich darauf mit dieser Information auf dem PC des ahnungslosen Opfers anzumelden.

Das Opfer ist machtlos: Windows überträgt bei Netbios-Verbindungsversuchen standardmäßig die gehashten Account-Informationen, ohne dass das Opfer etwas dagegen tun kann. Betroffen sind alle Windows-Rechner, auf denen Netbios aktiviert ist.

Der Hacker kann nun die von SMB-Relay aufgebaute Verbindung über eine virtuelle Netzadresse auf seinem PC nutzen und beliebige Netzwerkverbindungen zum angegriffenen Rechner aufbauen, ohne Login und Passwort des Opfers zu kennen. Sofern das Opfer Mitglied einer NT-Domäne ist, ist auch ein Domain-Login mit allen Rechten des Opfers möglich. Die von SMB-Relay extrahierten und abgespeicherten Passwort-Hashes lassen sich mit gängigen Passwort-Crackern wie L0phtcrack entschlüsseln, sofern es sich nicht um wirklich sichere Paßwörter mit mindestens zehn Zeichen und Sonderzeichen aus Zeichenkombinationen handelt, die sich nicht in einem Wörterbuch wiederfinden.

Das zugrunde liegende Sicherheitsproblem ist kein Bug, sondern schlicht eine Designschwäche in der LAN-Manager-Authentifizierung der Microsoft-Produkte, die aus Kompatibilitätsgründen noch immer unterstützt wird. Die Problematik ist nicht neu: Die ehemalige Hackergruppe L0pht wies in der Dokumentation zum Passwortknacker L0phtcrack schon vor längerer Zeit darauf hin, dass Windows alle Login-Informationen bei Anmeldeversuchen an fremde Rechner überträgt, unter Umständen sogar im Klartext. Die bisher kursierenden Tools, die diese Lücke ausnutzten, speicherten jedoch bestenfalls den NT-Passwort-Hash des Opfers, der, sofern ein sicheres Passwort verwendet wurde, mit vertretbarem Aufwand kaum zu knacken ist.

Eine wirklich praktikable Gegenmaßnahme gibt es derzeit nicht. Der Autor von SMB-Relay empfiehlt, Netbios nicht zu verwenden und den TCP-Port 139 auf den Rechnern abzuschalten oder auf Firewalls und Routern zu blockieren. Alternativ dazu kann die SMB-Authentifizierung auf das LAN-Manager-2.0-Protokoll beschränkt werden. Da jedoch die Anwender in fast allen Netzen mit Netbios-Verbindungen arbeiten, dürfte zumindest eine netzinterne Blockade von Port 139 in den meisten Netzwerken aus Kompatibilitätsgründen unmöglich sein.

Dringend zu empfehlen ist allerdings eine Blockade von Port 139 auf dem Internet-Gateway beziehungsweise der Firewall, um externe Zugriffe mittels SMB-Relay zu verhindern. Auf Arbeitsplätzen, die auf sicherheitskritische Daten zugreifen, sollte Netbios auch für netzinterne Verbindungen vorerst deaktiviert oder blockiert werden. Dies kann über eine Personal Firewall oder auch über die Ipsec-Mechanismen in Windows 2000 geschehen.

Derzeit keine GegenmaßnahmeDer Autor mit dem Pseudonym "Sir Dystic" hat Microsoft bereits mehrmals mit Netbios-Hackprogrammen zum Updaten seiner Netbios-Implementierung gezwungen. Er spricht in seiner Dokumentation davon, dass SMB-Relay nicht immer hundertprozentig funktioniere und gelegentlich mehrere Versuche benötige, bis eine Verbindung zustandekommt. In den Tests der COMPUTERWOCHE erwies sich das Programm jedoch als erstaunlich effizient und sehr einfach zu bedienen. Es ist somit davon auszugehen, dass ähnlich wie bei den Trojaner-Tools nun eine neue Hacking-Welle über die Anwender hereinbrechen könnte.

*Thomas Springer ist IT-Security-Berater beim TÜV-Süddeutschland.