Sicherheitsforscher von 0patch haben eine schwerwiegende Zero-Day Schwachstelle in Microsoft Windows aufgedeckt, die es Angreifern ermöglicht, Benutzeranmeldedaten über das NTLM-Protokoll zu kompromittieren. Die Sicherheitslücke ist besonders kritisch, da für ihre Ausnutzung lediglich das Öffnen einer präparierten Datei im Windows Explorer erforderlich ist.
Technische Details und Funktionsweise der Schwachstelle
Die Schwachstelle basiert auf einer Schwäche im Windows Explorer, der beim Öffnen manipulierter Dateien automatisch eine NTLM-Authentifizierung mit einem vom Angreifer kontrollierten Server initiiert. Während dieses Prozesses werden die NTLM-Hash-Werte der Benutzeranmeldedaten übertragen, die Cyberkriminelle abfangen und für weitere Angriffe missbrauchen können.
Betroffene Systeme und Reichweite
Die Sicherheitslücke betrifft ein breites Spektrum von Windows-Versionen, darunter:
- Windows 7 und Server 2008 R2
- Windows 10 und Server 2016/2019
- Windows 11 (bis Version 24H2)
- Windows Server 2022
Angriffsvektoren und Risiken
Cyberkriminelle können die Schwachstelle über verschiedene Wege ausnutzen:
- Netzwerk-Freigaben mit präparierten Dateien
- Kompromittierte USB-Laufwerke
- Drive-by-Downloads von manipulierten Websites
Schutzmaßnahmen und Lösungsansätze
Da Microsoft bisher keinen offiziellen Patch bereitgestellt hat, empfehlen Sicherheitsexperten folgende Präventivmaßnahmen:
- Installation des kostenlosen Mikro-Patches von 0patch
- Einschränkung der Benutzerrechte auf das notwendige Minimum
- Erhöhte Vorsicht beim Öffnen von Dateien aus unbekannten Quellen
Diese Zero-Day Schwachstelle reiht sich in eine Serie kritischer Sicherheitslücken ein, die in jüngster Zeit entdeckt wurden. Microsoft hat die Existenz des Problems bestätigt und arbeitet an einer Lösung, ohne jedoch einen konkreten Zeitplan für die Veröffentlichung eines Patches zu nennen. Bis dahin bleiben Unternehmen und Privatanwender den potenziellen Risiken ausgesetzt und sollten die empfohlenen Schutzmaßnahmen konsequent umsetzen.