NTLM-Passwort-Hash Attacke blockieren.

[Bolko]

NTLM-Passwort-Hash Attacke blockieren.

Mittels Explorer-Script (.scf Dateien) kann man User-Passworte als Hash aus dem System schmuggeln.
Ein Angreifer muss nur eine .scf-Datei in einen shared Folder schmuggeln und schon schickt der Explorer vollautomatisch die Passwörter als Hash nach draussen.
Windows hat im Oktober einen Patch gegen die Attacke veröffentlicht, aber nur für Windows 10, aber nicht für Windows 7 oder 8.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV170014
https://www.bleepingcomputer.com/ne...s-login-credentials-without-user-interaction/
http://www.sysadminjd.com/adv170014-ntlm-sso-exploitation-guide/

Laut Microsoft ist dieser Fix für ältere Windows Versionen nicht möglich, weil dort die Firewall keine "internal" Markierung für Ressourcen kennt.

Microsoft stellt sich da einfach dumm.

Also muss man das Problem anders lösen:
Man entfernt in der Registry die Dateihandler für die Explorer-Scripte (.scf).

Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\.scf]
[-HKEY_CLASSES_ROOT\SHCmdFile]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.scf]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SHCmdFile]

Zusätzlich sollte man in der Firewall ein paar Ports sperren, damit über SMB keine Daten ins Internet geschickt werden können (SMB-NetBIOS-Sperre):
in einer Konsole mit Adminrechten eingeben:

netsh advfirewall firewall add rule name="Port 135, 137, 138, 139, 445 - TCP - eingehend" profile=any enable=yes dir=in action=block protocol=TCP localport=135,137,138,139,445
netsh advfirewall firewall add rule name="Port 135, 137, 138, 139, 445 - TCP - ausgehend" profile=any enable=yes dir=out action=block protocol=TCP localport=135,137,138,139,445
netsh advfirewall firewall add rule name="Port 135, 137, 138, 139, 445 - UDP - eingehend" profile=any enable=yes dir=in action=block protocol=UDP localport=135,137,138,139,445
netsh advfirewall firewall add rule name="Port 135, 137, 138, 139, 445 - UDP - ausgehend" profile=any enable=yes dir=out action=block protocol=UDP localport=135,137,138,139,445

Außerdem kann man den Scripting-Host in der Registrys abschalten:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
"enabled"="0"

Anschließend Computer neu starten.

Auffällig ist, dass Windows die Dateierweiterung .scf verbirgt, selbst dann, wenn man Dateierweiterungen einblenden lässt.
Dafür hat MS einen extra Reg-Eintrag gemacht:

[HKEY_CLASSES_ROOT\SHCmdFile]
"NeverShowExt"=""

Außerdem sind diese scf-Dateien von Microsoft kaum dokumentiert worden.

1. versteckte Files
2. kaum dokumentiert
3. lässt sich via SMB ins System einschmuggeln
4. besitzt unsichtbare Autostart Funktion
5. Weigerung den Bug zu fixen mit einer faulen Ausrede

Das ist doch keine Blödheit von Microsoft, sondern Absicht.
Fragt sich nur zu wessen Nutzen man so eine Funktion in ein Betriebssystem einbaut und dann trotz Sicherheitsmängeln absichtlich nicht fixt.

 

[Smurfy1982]

Deine Firewallregeln haben einen gravierenden Nachteil: Lokal ist SMB damit auch geblockt, Zugriff auf Freigaben nicht mehr möglich.

Edit: Mir kommt die Lücke bekannt vor. War glaub schon vor ein paar Monaten auf heise Thema.
Edit2: War im Zusammenhang mit Chrome: https://www.heise.de/security/meldu...uslesen-von-Windows-Login-Hashes-3718618.html

 

[inge70]

aktuell: "Windows-Schwachstelle: Anmeldedaten über geteilte Ordner abgreifbar"

und die Sache mit Chrome "SCF-Files machen Windows & Chrome zum Duo Infernale"

aber schon merkwürdig und ärgerlich, dass MS nur Win10 und Windows Server 2016 patcht.

Ach Bolko, du brauchst garnicht so in der Registry rum werkeln. Einfach bei der Ordnerfreigabe den Passwortschutz aktiv lassen. Dann kann da auch nichts heimlich passieren (außer man wählt Passwörter, die jeder gleich errät).

Sollte in dem Text aus dem Du das hast sicher auch so drin stehen.

Ältere Windows-Versionen sind weiter anfällig für den Angriff. Der beste Schutz ist es daher, bei Ordner-Freigaben nicht auf ein Passwort zu verzichten.

 

[FranzvonAssisi]

Laut Microsoft ist dieser Fix für ältere Windows Versionen nicht möglich, weil dort die Firewall keine "internal" Markierung für Ressourcen kennt.

Microsoft stellt sich da einfach dumm.

Naja Defender und Firewall wurden ja mit Windows 10 stark überarbeitet. Natürlich wäre ein Fix "irgendwie" möglich, aber warum soviel Arbeit für ein altes OS?

 

[Bolko]

Deine Firewallregeln haben einen gravierenden Nachteil: Lokal ist SMB damit auch geblockt, Zugriff auf Freigaben nicht mehr möglich.

Dann darf man diese Ports nur am Gateway sperren, also im Router, an der Schnittstelle zum Internet und muss sie auf den Computern, die SMB brauchen deaktivieren.

 

[Smurfy1982]

Wobei die Fritz einen Filter für NetBIOS hat. Der müsste standardmäßig aktiv sein. Ob dieser auch SMB 445 blockt?

Auch müssten einige ISP die Dienste blocken.

Ändert natürlich nichts an der Tatsache, dass Gegenmaßnahmen erforderlich sind. ;-)

 

[Bolko]

Deine Firewallregeln haben einen gravierenden Nachteil: Lokal ist SMB damit auch geblockt, Zugriff auf Freigaben nicht mehr möglich.

Die Firewall-Befehle ändern:
statt
profile=any
nimmt man
profile=public

Dann wird "privat" und "Domäne" nicht blockiert.

 

[Smurfy1982]

Was von meinem Verständnis her nur für öffentliche Netze hilft, also z.B. mit dem Laptop im WLAN.

Im heimischen Netz hingegen greift die Blockregel nicht. Dieses dürfte in den meisten Fällen als Privat eingerichtet sein. Die Firewall lässt somit die Verbindung zu, da anderes Profil.

Ich denke, über die Firewall kommen wir hier nicht weiter.