image

IE en Edge kunnen inloggegevens Windows lekken

dinsdag 2 augustus 2016, 14:15 door Redactie, 8 reacties

Een beveiligingsprobleem in Windows maakt het voor aanvallers mogelijk om inloggegevens te achterhalen, wat vooral een probleem is als gebruikers met hun Microsoft-account inloggen, zo waarschuwen een Russische beveiligingsonderzoeker en vpn-aanbieder Perfect Privacy.

Om het datalek te veroorzaken hoeft een aanvaller alleen een netwerk share aan te maken en het slachtoffer het ip-adres van deze share te laten bezoeken. Dit kan worden gedaan door een afbeelding op een website te embedden. Om de aanval te laten slagen is het wel vereist dat het slachtoffer Internet Explorer of Edge gebruikt. In het geval van Chrome of Firefox zal de aanval niet werken. Een andere aanvalsvector is het embedded van de netwerk share in een e-mail. Als het slachtoffer Microsoft Outlook gebruikt zal ook dit zijn inloggegevens lekken.

Het gaat in dit geval om de inlognaam en NTLM-hash van het wachtwoord en Windows-domein. Deze hashes kunnen echter worden gekraakt. Perfect Privacy stelt dat het hier niet om een nieuw probleem gaat en het geen beveiligingslek betreft. Het probleem dateert van 1997. Vorig jaar werd er tijdens de Black Hat-conferentie ook al aandacht aan besteed (pdf). Het werd echter niet als een groot probleem beschouwd, omdat op deze manier alleen lokale inloggegevens van Windows werden gelekt.

Sinds Windows 8 is het echter mogelijk voor gebruikers om met hun Microsoft-account in te loggen en sinds Windows 10 is dit de standaard. In het geval deze inloggegevens lekken heeft een aanvaller toegang tot allerlei Microsoft-diensten die aan het account gekoppeld zijn, zoals OneDrive, Outlook, Skype en Xbox Live. Gebruikers krijgen dan ook het advies om Internet Explorer, Edge en Outlook te vermijden en geen Microsoft-account voor Windows te gebruiken. Onderstaande video laat zien hoe de gegevens via een e-mail zijn te achterhalen. Via deze pagina van Perfect Privacy kunnen gebruikers controleren of ze kwetsbaar zijn.

Image

Reacties (8)
02-08-2016, 16:18 door Anoniem
Was dit dan niet ook allang een probleem met organisaties die de (interne) accounts voor andere zaken gebruikten? Of hun informatie via webdav aanbieden?

Het werd echter niet als een groot probleem beschouwd, omdat op deze manier alleen lokale inloggegevens van Windows werden gelekt.

Omdat ook het domein bij de gelekte gegevens zit, zie ik niet in dat dit alleen lokale inloggegevens zijn.

Peter
02-08-2016, 17:49 door Anoniem
En voila! Wéér een reden om geen Microsoft producten en diensten te gebruiken. Het wil maar niet lukken met het fatsoenlijk dicht timmeren en het oplossen van veiligheidsissues. Je zou er toch gek van worden, als gebruiker van Windows. Toch??
02-08-2016, 20:13 door karma4
Door Anoniem: En voila! Wéér een reden om geen Microsoft producten en diensten te gebruiken. Het wil maar niet lukken met het fatsoenlijk dicht timmeren en het oplossen van veiligheidsissues. Je zou er toch gek van worden, als gebruiker van Windows. Toch??
Gezien het aantal lekken in al die andere producten (IOT) en servers (al die gehackte sites) maak ik me daar meer zorgen over. Er is geen inspanning om dat op te lossen want te duur.
Met de inspanning om van alles in Windows te vinden weet je tenminste daar waar de risico-s zitten en hoe je er eenvoudig om heen stapt. Trouwens gezien dat het om SMB gaat. Het is het protocol om Linux aan Windows te koppelen omdat de security (IAM DAC) zo krakkemikkig dan onbegijpleijk is.
02-08-2016, 21:20 door [Account Verwijderd]
[Verwijderd]
02-08-2016, 23:39 door Anoniem
03-08-2016, 09:52 door [Account Verwijderd] - Bijgewerkt: 03-08-2016, 10:02
[Verwijderd]
03-08-2016, 11:24 door Anoniem
Door Muria:
Door karma4:
Door Anoniem: En voila! Wéér een reden om geen Microsoft producten en diensten te gebruiken. Het wil maar niet lukken met het fatsoenlijk dicht timmeren en het oplossen van veiligheidsissues. Je zou er toch gek van worden, als gebruiker van Windows. Toch??
...
Trouwens gezien dat het om SMB gaat. Het is het protocol om Linux aan Windows te koppelen omdat de security (IAM DAC) zo krakkemikkig dan onbegijpleijk is.

Wot? SMB zou het protocol zijn om Linux aan Windows te koppelen? (Probeer je Linux de zwarte piet toe te spelen?)

Zoals gebruikelijk weer klinkklare nonsens! Lees dit eerst eens: https://en.wikipedia.org/wiki/Server_Message_Block

Karma4 houd niet van bashen, maar ondertussen zitten zijn posting indirect vol met bashing richting Linux. Het wordt een beetje doorzichtig.

Zoals je later terecht opmerkt betreft het het Microsoft SMB protocol.
03-08-2016, 18:26 door Anoniem
Detail voor de redactie: "NTML-hash van het wachtwoord" moet zijn "NTLM".

Afgezien van de typo is het jammer dat deze hash nog steeds gebruikt wordt en al helemaal in het geval van clouddiensten. AD gebruikt (al jaren) kerberos tickets ipv NTLM.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.