Bolko
Commander
- Registriert
- Sep. 2012
- Beiträge
- 2.082
NTLM-Passwort-Hash Attacke blockieren.
Mittels Explorer-Script (.scf Dateien) kann man User-Passworte als Hash aus dem System schmuggeln.
Ein Angreifer muss nur eine .scf-Datei in einen shared Folder schmuggeln und schon schickt der Explorer vollautomatisch die Passwörter als Hash nach draussen.
Windows hat im Oktober einen Patch gegen die Attacke veröffentlicht, aber nur für Windows 10, aber nicht für Windows 7 oder 8.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV170014
https://www.bleepingcomputer.com/ne...s-login-credentials-without-user-interaction/
http://www.sysadminjd.com/adv170014-ntlm-sso-exploitation-guide/
Laut Microsoft ist dieser Fix für ältere Windows Versionen nicht möglich, weil dort die Firewall keine "internal" Markierung für Ressourcen kennt.
Microsoft stellt sich da einfach dumm.
Also muss man das Problem anders lösen:
Man entfernt in der Registry die Dateihandler für die Explorer-Scripte (.scf).
Zusätzlich sollte man in der Firewall ein paar Ports sperren, damit über SMB keine Daten ins Internet geschickt werden können (SMB-NetBIOS-Sperre):
in einer Konsole mit Adminrechten eingeben:
Außerdem kann man den Scripting-Host in der Registrys abschalten:
Anschließend Computer neu starten.
Auffällig ist, dass Windows die Dateierweiterung .scf verbirgt, selbst dann, wenn man Dateierweiterungen einblenden lässt.
Dafür hat MS einen extra Reg-Eintrag gemacht:
Außerdem sind diese scf-Dateien von Microsoft kaum dokumentiert worden.
1. versteckte Files
2. kaum dokumentiert
3. lässt sich via SMB ins System einschmuggeln
4. besitzt unsichtbare Autostart Funktion
5. Weigerung den Bug zu fixen mit einer faulen Ausrede
Das ist doch keine Blödheit von Microsoft, sondern Absicht.
Fragt sich nur zu wessen Nutzen man so eine Funktion in ein Betriebssystem einbaut und dann trotz Sicherheitsmängeln absichtlich nicht fixt.
Mittels Explorer-Script (.scf Dateien) kann man User-Passworte als Hash aus dem System schmuggeln.
Ein Angreifer muss nur eine .scf-Datei in einen shared Folder schmuggeln und schon schickt der Explorer vollautomatisch die Passwörter als Hash nach draussen.
Windows hat im Oktober einen Patch gegen die Attacke veröffentlicht, aber nur für Windows 10, aber nicht für Windows 7 oder 8.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV170014
https://www.bleepingcomputer.com/ne...s-login-credentials-without-user-interaction/
http://www.sysadminjd.com/adv170014-ntlm-sso-exploitation-guide/
Laut Microsoft ist dieser Fix für ältere Windows Versionen nicht möglich, weil dort die Firewall keine "internal" Markierung für Ressourcen kennt.
Microsoft stellt sich da einfach dumm.
Also muss man das Problem anders lösen:
Man entfernt in der Registry die Dateihandler für die Explorer-Scripte (.scf).
Code:
Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOT\.scf]
[-HKEY_CLASSES_ROOT\SHCmdFile]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.scf]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SHCmdFile]Zusätzlich sollte man in der Firewall ein paar Ports sperren, damit über SMB keine Daten ins Internet geschickt werden können (SMB-NetBIOS-Sperre):
in einer Konsole mit Adminrechten eingeben:
Code:
netsh advfirewall firewall add rule name="Port 135, 137, 138, 139, 445 - TCP - eingehend" profile=any enable=yes dir=in action=block protocol=TCP localport=135,137,138,139,445
netsh advfirewall firewall add rule name="Port 135, 137, 138, 139, 445 - TCP - ausgehend" profile=any enable=yes dir=out action=block protocol=TCP localport=135,137,138,139,445
netsh advfirewall firewall add rule name="Port 135, 137, 138, 139, 445 - UDP - eingehend" profile=any enable=yes dir=in action=block protocol=UDP localport=135,137,138,139,445
netsh advfirewall firewall add rule name="Port 135, 137, 138, 139, 445 - UDP - ausgehend" profile=any enable=yes dir=out action=block protocol=UDP localport=135,137,138,139,445Außerdem kann man den Scripting-Host in der Registrys abschalten:
Code:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
"enabled"="0"Anschließend Computer neu starten.
Auffällig ist, dass Windows die Dateierweiterung .scf verbirgt, selbst dann, wenn man Dateierweiterungen einblenden lässt.
Dafür hat MS einen extra Reg-Eintrag gemacht:
Code:
[HKEY_CLASSES_ROOT\SHCmdFile]
"NeverShowExt"=""Außerdem sind diese scf-Dateien von Microsoft kaum dokumentiert worden.
1. versteckte Files
2. kaum dokumentiert
3. lässt sich via SMB ins System einschmuggeln
4. besitzt unsichtbare Autostart Funktion
5. Weigerung den Bug zu fixen mit einer faulen Ausrede
Das ist doch keine Blödheit von Microsoft, sondern Absicht.
Fragt sich nur zu wessen Nutzen man so eine Funktion in ein Betriebssystem einbaut und dann trotz Sicherheitsmängeln absichtlich nicht fixt.
Zuletzt bearbeitet:
