Sicherheitsforscher von Acros Security haben eine kritische Zero-Day-Schwachstelle in Microsoft Windows aufgedeckt, die es Angreifern ermöglicht, Benutzeranmeldedaten über das NTLM-Protokoll zu stehlen. Die Ausnutzung der Sicherheitslücke erfordert lediglich, dass ein Opfer eine präparierte Datei im Windows Explorer öffnet, was die Bedrohung besonders gefährlich macht.
Technische Details der Schwachstelle
Die als „SCF File Vulnerability“ bezeichnete Sicherheitslücke betrifft sämtliche aktuellen Windows-Versionen von Windows 7 bis Windows 11 sowie die Server-Editionen von 2008 R2 bis 2025. Die Exploitation erfolgt durch speziell gestaltete Dateien, die beim bloßen Öffnen im Datei-Explorer automatisch NTLM-Authentifizierungsdaten an einen vom Angreifer kontrollierten Server übermitteln.
Angriffsvektoren und Risikopotenzial
Cyberkriminelle können die schadhaften Dateien über verschiedene Wege einschleusen:
– Freigegebene Netzwerkverzeichnisse
– USB-Speichermedien
– Automatische Downloads in den Download-Ordner
Mögliche Konsequenzen eines erfolgreichen Angriffs
Die erbeuteten NTLM-Hashes können für verschiedene Angriffsszenarien missbraucht werden:
– NTLM Relay Attacken zur Authentifizierung als kompromittierter Benutzer
– Pass-the-Hash Angriffe für laterale Bewegung im Netzwerk
– Zugriff auf vertrauliche Unternehmensdaten
Empfohlene Sicherheitsmaßnahmen
Bis Microsoft einen offiziellen Patch bereitstellt, können Administratoren auf die kostenlosen Mikropatches der 0patch-Plattform zurückgreifen. Microsoft hat die Schwachstelle bereits bestätigt und arbeitet an einer Lösung. Organisationen sollten zusätzlich:
– Netzwerkaktivitäten verstärkt überwachen
– Freigaben auf das Notwendigste beschränken
– Mitarbeiter im sicheren Umgang mit Dateien schulen
Angesichts der Schwere der Sicherheitslücke und Microsofts geplanter Abkehr vom NTLM-Protokoll in künftigen Windows-Versionen ist es für Unternehmen essentiell, ihre Sicherheitsmaßnahmen zu überprüfen und anzupassen. Die Implementation mehrschichtiger Sicherheitskonzepte sowie regelmäßige Security-Awareness-Trainings sind dabei Schlüsselelemente einer effektiven Verteidigungsstrategie.
