Trends & News | News

D-Link-Patch: Aus drei Lücken mach vier

Beim Versuch, mehrere Sicherheitslücken in der Firmware seiner Router DIR-645 und DIR-890L abzudichten, hat D-Link eine neue Lücke eingebaut. Bei den betroffenen Routern konnten Angreifer Schadcode einschleusen und Administrator-Funktionen ausführen, ohne sich anzumelden – unter anderem wegen eines Stack-Überlaufs im Code. Das Firmware-Update hatte die ursprünglichen Lücken nicht geschlossen, sondern nur einen Sicherheits-Check vorgeschaltet. Zu allem Unglück enthält diese neue Funktion allerdings einen weiteren Stack-Überlauf, sodass die Router nach dem Update vier statt drei Lücken haben. Außerdem können Angreifer auch nach dem Patch immer noch unangemeldet Admin-Aktionen ausführen – etwa Systemeinstellungen ändern oder den Router zurücksetzen. Das ist besonders brisant, falls beim Gerät die Fernwartungsfunktionen aktiviert sind. In diesem Fall können die Lücken vom öffentlichen Netz aus angegriffen werden. (fab@ct.de)

Hacker Angriff auf das Weiße Haus

Über eine Kombination von Sicherheitslücken in Windows und Adobe Flash haben sich Hacker Zugang zu Computersystemen des US-Außenministeriums und des Weißen Hauses verschafft – mutmaßlich von Russland aus. Unter anderem hatten die Hacker dabei Zugriff auf den Reiseplan des US-Präsidenten. Außerdem sollen sie in der Lage gewesen sein, E-Mail-Archive zu kopieren. So konnten sie unter Umständen als nicht geheim eingestufte E-Mails von Präsident Obama lesen – etwa Kommunikationen mit Diplomaten und unvermeidlich auch den Austausch über politische Fragen.. Adobe reagierte bereits und hat die als kritisch eingestufte Schwachstelle geschlossen. Die Windows-Lücke wurde hingegen noch nicht gestopft; allerdings sind Windows 8 und 10 davon nicht betroffen. Für sich genommen ist diese Schwachstelle weniger bedrohlich, da sie lediglich auf lokaler Ebene die Nutzerrechte anheben kann; Angreifer müssten sich also schon auf dem Computer befinden. (des@ct.de)

SMB zu freizügig mit Windows-Passwort-Hashes

Windows geht beim Zugriff auf SMB-Ressourcen zu freizügig mit dem Passwort-Hash des angemeldeten Nutzers um – ein Problem, das bereits seit 18 Jahren bekannt ist. Lockt ein Angreifer sein Opfer in spe auf einen SMB-Server, sendet der Rechner des Opfers unter Umständen den NTLM-Hash des angemeldeten Windows-Nutzers an den Server – in der Hoffnung, den Nutzer damit zu authentifizieren. Bei der möglichen Beute handelt es sich um einen Hash des Windows-Passworts, der genügt, um sich in Windows-Netzen auszuweisen und danach Dienste zu nutzen (Pass-the-Hash-Angriff). Vor Attacken aus dem Internet kann man sich schützen, indem man die an SMB beteiligten Ports 139 und 445 ausgehend blockiert, etwa mit dem Router oder der Unternehmensfirewall. Die gute Nachricht ist, dass dies oftmals schon praktiziert wird: So blockiert etwa die Fritzbox standardmäßig Zugriffe auf diesen Ports nach außen. Berichten zufolge filtern auch einige Provider entsprechende Verbindungen. (rei@ct.de)

Artikel kostenlos herunterladen

Anzeige
Anzeige