März-Updates für Windows-Server: Speicherleck lässt Domain Controller abstürzen
Eingeführt wurde das Lsass-Speicherleck mit den März-Updates für Windows. Betroffen sind laut Microsoft Windows Server 2012 R2, 2016, 2019 und 2022.
schaf am 29. Dez. 2011 um 19:13 | 
4 Kommentare | Lesezeit: 3 Minuten, 25 SekundenLeck im W-Lan
Die US-Organisation für Computersicherheit US-Cert beschreibt in ihrer Warnung die Bedrohung knapp und klar: Ein Angreifer innerhalb der Funkreichweite eines W-Lan-Zugangspunkt könnte ins Router-Konfigurationsmenü gelangen, indem er Software PIN-Kombinationen durchprobieren lässt. Ist die richtige Kombination gefunden, könnten Angreifer ans Passwort des Drahtlos-Netzwerks kommen und Einstellungen verändern. Gibt es eine Lösung des Problems? In dem Dokument heißt es: "Wir kennen derzeit keine."
Von dieser Sicherheitslücke dürften viele W-Lan-Router in unterschiedlichem Ausmaß betroffen sein. Die Organisation US-Cert zählt unter anderem die Hardware-Hersteller Belkin, Buffalo und D-Link auf.
Entdeckt hat die Schwachstellen der österreichische Student Stefan Viehböck. Er beschreibt in einem nun veröffentlichten Aufsatz, wie mehrere Designfehler bei der Umsetzung das Konfigurationsverfahren WPS zur Sicherheitslücke machen.
Eigentlich soll WPS es Nutzern vereinfachen, ihren neu gekauften Router zu konfigurieren. Auf vielen WPS-Geräten klebt dazu eine Folie mit einer aufgedruckten achstelligen PIN. Will man sich von seinem Computer aus beim Router einzuloggen, um Einstellungen zu ändern, muss man diese PIN eintippen. Geräte ohne solchen PIN-Aufkleber dürften von der Sicherheitslücke nicht betroffen sein - sicher ist das derzeit aber nicht.
Das Problem ist, dass Angreifer den Aufkleber gar nicht sehen müssen, um in betroffenen Router einzudringen. Sie können einfach aus der Ferne (so weit die Funkverbindung reicht) die PIN per Software raten. Viehböck hat entdeckt, dass Router mit WPS-Funktion bei vergeblichen Anmeldeversuchen eine Rückmeldung geben, ob die erste oder zweite Hälfte der PIN falsch war. Das vereinfacht das Ausprobieren per Rate-Software, die alle Zahlenkombinationen durchspielt. Solche Angriffsprogramme haben bei bestimmten Routern zudem ein leichtes Spiel, weil einige Hersteller die Anzahl der möglichen Anmeldeversuche nicht beschränken.
US-Firma bietet Angriffssoftware
So leicht ist der Einbruch aber nicht bei allen Routern. Bei einigen Geräten gibt es immerhin kleine Hemmnisse, die den Zeitaufwand für Angreifer etwas erhöhen. Wie schnell die Schwachstellen bei einzelnen Geräten auszunutzen sind, konnten Sicherheitsexperten bislang nicht überprüfen, da Viehböck die von ihm entwickelte Angriffssoftware bisher nicht veröffentlicht hat. Das US-Unternehmen Tactical Networks Solutions bietet eine solche Angriffssoftware hingegen schon an. Die Firma behauptet, binnen vier bis zehn Stunden sei ein Router damit zu knacken.
Solchen Angriffen kann man derzeit nur vorbeugen, indem man bei seinem Router das WPS-Konfigurationsverfahren deaktiviert, wozu Viehböck und US-Cert allen Router-Betreibern raten.
Denn wenn ein Router einmal geknackt ist, kann der Angreifer unter der Identität des Anschlussinhabers das Internet nutzen. Viehböck warnt: "Wer einmal Zugriff auf den Router und das W-Lan hat, kann illegale Aktivitäten auf den Betreiber des Router zurückfallen lassen." So zum Beispiel Urheberrechtsverletzungen im Netz, Abrufe oder Uploads von Kinderpornographie. Und, so Viehböck: "Falls der Router Internettelefonie unterstützt, wäre es unter Umständen möglich, teure Mehrwertnummern anzurufen." Und Angreifer könnten in einem einmal geknackten W-Lan den Netzwerkverkehr belauschen, weitere Attacken auf eingebundene Computer und Geräte starten.
Bundesgerichtshof: Wer W-Lan betreibt, muss sichern
Wer daheim per W-Lan-Router den Internetzugang nutzt, muss in Deutschland ohnehin aufpassen: Ist ein solches Funknetz nicht gesichert, droht eine kostenpflichtige Unterlassungserklärung, sobald über den offenen Anschluss Urheberrechtsverletzungen begangen werden - also dort zum Beispiel illegal Musik zum Download angeboten wird.
Das hat der Bundesgerichtshof im Mai 2010 entschieden. Der BGH schränkte damals aber ein, dass die Betreiber nur Vorkehrungen zum Schutz treffen müssen, die zum "Zeitpunkt der Installation des Routers für den privaten Bereich" marktüblich sind. Dem Nutzer sei es nicht zuzumuten, die "Netzwerksicherheit fortlaufend dem neuesten Stand der Technik anzupassen und dafür entsprechende finanzielle Mittel aufzuwenden".
Wie diese Ausführungen des BGH auf Haftungsfragen bei den nun entdeckten WPS-Schwachstellen zu übertragen sind, würden erst konkrete Verfahren zeigen. Darauf will es aber sicher niemand ankommen lassen.
Quelle: spiegel.de
Kurze URL:
Das könnte Dich auch interessieren:
März-Updates für Windows-Server: Speicherleck lässt Domain Controller abstürzen
Eingeführt wurde das Lsass-Speicherleck mit den März-Updates für Windows. Betroffen sind laut Microsoft Windows Server 2012 R2, 2016, 2019 und 2022.
Leck in der Raumstation ISS ist jetzt doppelt so groß
im russischen Teil der ISS gibt es ein Loch. Die Menge der Luft, die daraus entweicht, ist laut der NASA deutlich angestiegen.
Ähnliche News:
Hobbyentwickler aus der Steiermark entfernt das deutsche "Lecker" von Websites
Datenleck bei Tesla Deutschland enthält Gehaltsdaten von Mitarbeitern
Forscher vermuten, dass der Erdkern ein Leck hat
ISS leckt: Russisches Labor verliert Kühlflüssigkeit
Datenleck bei Motel One betrifft auch dessen Gründer
Datenleck legte Standorte von Feuerwehrautos offen
Datenleck bei kritischer Google-Plattform, die bei Hackern beliebt ist
US-Datenleck: Verdächtiger schon vor Monaten von Vorgesetzten ermahnt
Datenleck bei Mastodon.social
Datenleck: Ehemaliger Ubiquiti-Angestellter bekennt sich schuldig
Datenleck bei Tesla Deutschland enthält Gehaltsdaten von Mitarbeitern
Forscher vermuten, dass der Erdkern ein Leck hat
ISS leckt: Russisches Labor verliert Kühlflüssigkeit
Datenleck bei Motel One betrifft auch dessen Gründer
Datenleck legte Standorte von Feuerwehrautos offen
Datenleck bei kritischer Google-Plattform, die bei Hackern beliebt ist
US-Datenleck: Verdächtiger schon vor Monaten von Vorgesetzten ermahnt
Datenleck bei Mastodon.social
Datenleck: Ehemaliger Ubiquiti-Angestellter bekennt sich schuldig
Weitere News:
Adobe zeigt KI-Upscaling für Videos ohne Geflacker
Deutsches Bundeskartellamt darf Amazon nun noch schärfer kontrollieren
USA steht kurz vor Gesetz zum Tiktok-Verbot
Cloudnordic geht durch Hackerangriff pleite
Steam ändert Refund-Regeln für Early-Access-Spiele
Sammelklage in Deutschland gegen Dazn eingereicht
Tesla Model 3 Performance fährt 262 km/h
Smart zeigt mit dem Concept #5 erstes 800-Volt-Modell
WizardLM 2: Microsoft muss unsichere KI zurückziehen
AVM bestätigt "gute Einigung" mit Huawei zu Patenten
Deutsches Bundeskartellamt darf Amazon nun noch schärfer kontrollieren
USA steht kurz vor Gesetz zum Tiktok-Verbot
Cloudnordic geht durch Hackerangriff pleite
Steam ändert Refund-Regeln für Early-Access-Spiele
Sammelklage in Deutschland gegen Dazn eingereicht
Tesla Model 3 Performance fährt 262 km/h
Smart zeigt mit dem Concept #5 erstes 800-Volt-Modell
WizardLM 2: Microsoft muss unsichere KI zurückziehen
AVM bestätigt "gute Einigung" mit Huawei zu Patenten
Einen Kommentar schreiben
Kommentare
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
(4)
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
Kommentare:
Du hast bereits für diesen
Kommentar angestimmt...
;-)
© by Ress Design Group, 2001 - 2024
