WinSec: Zugangsdatenhash in unter 2 Sekunden geklaut

Der Rechnerarbeitsplatz ist verwaist, der Screensaver mit Passworteingabe saved so vor sich in, und doch sind die Logindaten jetzt bei jemand anderem?

Was nach Magie klingt, ist lediglich das Ausnutzen von aktuellen Mechanismen unter Windows, MacOs und vielleicht auch Linux. Der Angreifer ist dabei ein kleiner USB Stick, der sich als Netzwerkkarte ausgibt und eine schnellere und bessere Netzwerkanbindung verspricht, als die Netzwerkkarte zu bieten hat. Akzeptiert das Betriebssystem die neue Netzwerkkarte als besser, trennt es die bisherigen Netzwerkverbindungen auf und erstellt über den neuen Link sofort neue Verbindungen.  (DHCP ist da nicht ganz schuldlos dran.)

Was kann dabei schon schief gehen, ist doch alles verschlüsselt !

Ja, was kann da schon schief gehen, wenn man sich als SMB Client, Unixern besser bekannt als Samba, als ein Netzwerklaufwerk neu an einem Netzwerkgerät anmeldet ? Na, das Passwort wird erneut übertragen, was im Fall von Samba ein Passwordhash ist und der ist bei Nativem Windows, wer hätte es erraten, nicht sicher. Deswegen Blocken Router Samba auch per Default, damit es keine Passwörter und Usernamen verrät. Ja, der Username wird in Klartext übermittelt 😀

Der Gag am Rande, SMB schickt den Usernamen und Hash unaufgefordert zum Netzwerkgerät, selbst wenn man da noch nie angemeldet war, weil es könnte ja einen User mit dem Passwort dort geben und dann soll der verdammt nochmal auch gleich das Laufwerk benutzen können.

SMB Entwickler: Laßt Euch von der Marketingabteilung nicht immer alles  gefallen, Ihr Weicheier ! Steht auch mal für ein „Nein, ist uns zu unsicher.“ ein !

Wer wars, was benutzte er dazu ?

Hacker Mubix beschreibt in seinem Beitrag wie er mit einer 50 US$ Hardware den Angriff in 15 Sekunden durchführt. Dazu läuft auf dem USB Stick ein Minicomputer mit Linux der einen Sambashare simuliert und einfach alle IPs bedient.

Besser verständlich ist allerdings ein Video von Hak5 über einen anderen Angriff, der die gleiche Lücke von SMB ausnutzt, aber nur funktioniert, wenn der User eingeloggt ist. Dafür braucht er nur 1,5 Sekunden dafür, und dafür reicht schon ein simples Ablenkungsmanöver.

Gegenmaßnahmen

So leid es mir tut, dies zu sagen, aber außer Ausschalten hilft da nichts, weil aus einem Standby könnte der Angreifer den Rechner rausholen, die Netzwerkkarte zu deaktivieren und damit das Netz lahmlegen nutzt auch nichts, weil das USB Gerät ist ja eine Netzwerkkarte und genau die will das OS haben.  Man müßte schon in Windows das automatische akzeptieren von USB Geräten abschalten. Lustigerweise wird das für Storage-Sticks auch gemacht, aber eine USB-Ethernetkarte ist halt kein Storage-Stick 😀  Mal sehen ob M$ ein Einsehen hat und einen Patch rausbringt, daß wenn der Screensafer läuft, keine Automatismen greifen.

„Transmission“ Webseite gehackt

Die Webseite, des auch für Linux verfügbaren Bittorrentprogramm „Transmission“, wurde vor drei Tagen gehackt. Die dortigen Downloads für MacOS wurden gegen mit Backdoors ausgerüstete Dateien ausgetauscht. Wer also in den letzten Tagen dort direkt etwas runtergeladen hat, sollte das schleunigst überprüfen! (Mehr)

Diese Woche im Netz

Putschversuch in der Türkei …. und missglückt. Von militärischer Präzision kann man wohl nicht sprechen.

Quelle: https://twitter.com/hashtag/T%C3%BCrkei?src=tren

Für alle die auf einem Windows 10 den Ubuntu Desktop laufen lassen wollen, finden in dem Link unten eine bebilderte Anleitung, wie man das schafft.

Quelle: thehackernews.com

„Sky“ ist Großbritaniens größter TV Anbieter und gleichzeitig für seine raubgestreamten Sportkanäle berühmt. Deswegen hatte Sky eine Domain der Piraten übernommen. Und ? 🙂 Sky hat wohl vergessen die DNS Server zu tauschen und linkt jetzt immer noch auf die Piratenseite, seit Monaten 🙂

Quelle: torrentfreak.com

Wer glaubt, daß Abmahnmissbrauch ein deutsches Phänomen wäre, der klickt auf den Link unten. Da werden in England auch mal 82jährige Omas bedroht.

Quelle: torrentfreak.com

Amerikanische Gerichte meinen, daß man ein Bundesverbrechen begeht, wenn man öffentliche Webseiten aufruft und einem das verboten worden ist.

Quelle: thehackernews.com

Die Foren von Ubuntu wurden gehackt.

Quelle: lwn.net

Microsoft muß Emails, die auf ausländischen Servern liegen doch nicht herausgeben – Vorerst. Das Ganze könnte noch vor den obersten Gerichtshof gelangen.

Quelle: golem.de

Der aus China stammende Maxthon-Browser sendet heikle Daten nach Hause und ist dabei auch noch schlampig am Werk.

Quelle: golem.de

Und wieder eine Windows Kopie mehr, die auf Linux basiert. Wer sich einen Test mit Screenshots ansehen will, folgt dem Link.

Quelle: linux.com

 

Diese Woche im Netz

Letzte Woche gab es erste Gerücht, daß TeamViewer gehackt wurde. Diese wurden zwar nicht bestätigt, dafür hat TeamViewer aber nun eine Zwei-Faktor-Autorisierung eingeführt. Verdächtig ?

Quelle: golem.de – 121294-rss

Und wieder ein Auto durch den EInbau von zuviel Elektronik für Hacker angreifbar gemacht. Diesmal hat es Mitsubishi bloßgestellt.

Quelle: thehackernews.com – mitsubishi-car-hacking

In Marokko haben Zeitungsverleger jetzt durchgesetzt, daß kostenloses Lesen von Zeitungen in der Öffentlichkeit verboten ist/wird. Mal sehen wann die deutschen Verlegerfamilien das nachmachen.

Quelle: heise.de – Marokko-verbietet-Zeitunglesen-in-der-Oeffentlichkeit

Dieverse Webseiten hatten sehr umfangreiche Datenleaks zu vermelden. Eine kurze Hochrechnung der letzten 14 Tage kommt auf knappe eine Milliarde Datensätze. Das hat schon was.

Mehr: Zuviele große Hacks

Immer mehr Datenbanken kommen abhanden

Allein in den letzten 14 Tagen wurden vier große Webseiten um Ihre Kundendaten erleichtert:

und jetzt gibt es noch Gerüchte, daß TeamViewer auch gehackt wurde. Außer beim SZ -Magazin, wo jemand das Blog nicht auf Stand gehalten hat, weiß man leider nicht viel über die Hacks. Daher kann man auch nicht behaupten, daß Sie zusammenhängen würden.

Eins steht aber fest: Wer irgendwo noch seine echten Daten gespeichert hat um sich „Vorteile“ zu sichern, der sollte da ganz schnell, Anschrift und Geburtsdatum ändern, bevor seine Daten auch noch abgegriffen werden.

Update 4.6.:

Den neusten Kracker hat sich MySpace geleistet: 426 Millionen Passwörter geleakt.