Vor kurzem wurde eine kritische Zero-Day-Schwachstelle in allen Versionen von Windows entdeckt, von Windows 7 bis zu den neuesten Updates von Windows 11. Die Sicherheitslücke ermöglicht es Angreifern, NTLM-IDs ohne Benutzerinteraktion zu stehlen, indem sie einfach auf eine bösartige Datei im System zugreifen. Die Tragweite dieser Sicherheitslücke ist besonders besorgniserregend, da sie Windows-Desktops und -Server betrifft, ein Zeitfenster für gezielte Angriffe in großem Maßstab.
Eine Zero-Day-Sicherheitslücke, die alle Versionen von Windows OS betrifft
Wenn Sie das Funktionsupdate für Windows 11 Version 24H2 in der ersten Versionsrunde noch nicht erhalten haben, ist es vielleicht an der Zeit, Ihre Updates zu überprüfen. Microsoft hat gestern angekündigt, dass die Bereitstellung des Updates nun auf mehr Systeme ausgeweitet wird. Allerdings bringt das Update auch eine wichtige schlechte Nachricht in Bezug auf die Sicherheit mit sich.
Am selben Tag warnte das 0patch-Team vor einer Zero-Day-Schwachstelle in Windows, die es Angreifern ermöglicht, über schädliche Dateien NTLM-Kennungen zu stehlen. Die Sicherheitslücke betrifft alle Versionen von Windows und Server-Editionen. Die Forscher von 0patch haben die Schwachstelle identifiziert, die es einem Angreifer ermöglicht, NTLM-Anmeldeinformationen zu erlangen, indem er einfach eine bösartige Datei im Windows Explorer anzeigt, sei es über einen freigegebenen Ordner, ein USB-Laufwerk oder sogar den Ordner „Downloads“, wenn die Datei automatisch von einer bösartigen Webseite heruntergeladen wurde. Microsoft wurde über die Situation informiert und den Nutzern wird dringend empfohlen, die Sicherheitsupdates anzuwenden, sobald sie verfügbar sind.
Ein inoffizieller Patch wurde vom 0patch-Team veröffentlicht.
Das Team von 0patch, das sich auf die Erstellung inoffizieller Patches spezialisiert hat, wies kürzlich auf eine Zero-Day-Sicherheitslücke hin, die die Sicherheit von Windows-Benutzern gefährden kann. Das Problem ist alarmierend einfach: Ein Benutzer muss nur eine schädliche Datei im Windows Explorer ansehen, und schon werden seine NTLM-IDs erfasst. Dieser Angriff kann in gängigen Szenarien erfolgen, z. B. beim Öffnen eines freigegebenen Ordners, beim Anschließen eines bösartigen USB-Sticks oder auch beim einfachen Betrachten des Ordners „Downloads“, wenn zuvor eine präparierte Datei heruntergeladen wurde.
NTLM-Anmeldedaten dienen zur Authentifizierung auf Windows-Systemen. Wenn sie gestohlen werden, können Angreifer entweder die Identität des Benutzers annehmen oder versuchen, das Passwort im Klartext mittels Brute-Force-Methode zu erbeuten. Diese Sicherheitslücke reiht sich in eine besorgniserregende Reihe ähnlicher Schwachstellen ein, die 2024 entdeckt wurden, und unterstreicht die Persistenz von Bedrohungen, die auf die Windows-Infrastruktur abzielen.
Obwohl Microsoft über die Sicherheitslücke informiert wurde, wurde noch kein offizieller Patch veröffentlicht. Diese Verzögerung bei der Reaktion von Microsoft hallt in anderen ungepatchten Schwachstellen wie PetitPotam und PrinterBug nach. Während Sie auf eine offizielle Lösung warten, hat 0patch einen inoffiziellen Patch entwickelt, der kostenlos zugänglich ist. Dieser temporäre Patch wird besonders für sensible Systeme empfohlen, bis eine dauerhafte Lösung verfügbar ist.
Schrittweise Abschaffung des NTLM-Protokolls, das als veraltet und anfällig gilt
Dieses Problem tritt vor dem Hintergrund auf, dass Microsoft plant, das NTLM-Protokoll schrittweise abzuschaffen, da es als veraltet und anfällig gilt. Das Unternehmen fördert nun den Umstieg auf sicherere und modernere Authentifizierungslösungen. Bis zum offiziellen Patch sollten die Benutzer wachsam sein, insbesondere beim Surfen in freigegebenen Ordnern oder beim Anschließen externer Geräte.
