Digital Life
03.08.2016

Windows-Sicherheitslücke verrät Nutzer-Login-Daten

Sicherheitsforscher zeigen, wie einfach Cyberkriminelle die Kontrolle über Windows-Rechner erhalten können, wenn sich Nutzer mit ihrem Microsoft-Konto einloggen.

Eine bereits seit langem bestehende Sicherheitslücke in Windows erlaubt es Angreifern, die Login-Daten von Nutzern zu stehlen. Wie ZDNet berichtet, wurde die Lücke erstmals 1997 gefunden. Bis heute wurde sie nicht geschlossen. Sicherheitsforscher warnen nun davor, wie einfach Angreifer die Lücke ausnützen können. Wer sich mit seinem Microsoft-Live-Konto bei Windows einloggt - dies ist seit Windows 8 möglich - riskiert, dass seine Zugangsdaten in falsche Hände geraten.

Login-Daten-Austausch

Die Lücke sitzt in einem Vorgang, bei dem die Login-Daten eines Nutzers vom Rechner ins lokale Netzwerk übertragen werden. Der Login-Name und ein Hash-Wert des Passwortes werden dabei versendet. Um die Lücke auszunutzen, müssen Angreifer eine im Netzwerk geteilte Ressource erstellen und das Opfer dazu bringen, eine IP-Adresse innerhalb dieser Ressource zu besuchen. Dies kann etwa durch einen Link auf einer Webseite oder in einer E-Mail geschehen.

Involviert sein muss irgendein Microsoft-Dienst in Windows, der die Login-Daten zu Microsoft Live verwendet: OneDrive, Outlook, Skype, Xbox Live, Office, MSN, Bing etc.. Der Hash-Wert des Passworts lässt sich von Cyberkriminellen mit wenig Aufwand in das vollständige Passwort umwandeln. Angreifer können sich so Nutzernamen und Passwort eines Nutzers verschaffen. Das Verfahren lässt sich selbst bei Verwendung von VPN-Diensten anwenden.

Microsoft kennt Problem

Der VPN-Dienst Perfect Privacy empfiehlt, sich bei Windows nicht mit seinem Microsoft-Live-Konto anzumelden und außerdem weder den Internet Explorer, Edge oder Outlook zu verwenden. Laut ZDNet sind Chrome und Firefox nicht von der Lücke betroffen. Microsoft will die Lücke, die auch im Jahr 2015 während der Sicherheitskonferenz Black Hat besprochen wurde, vorerst nicht schließen. "Wir wissen von dieser Informationssammlungs-Technik. Microsoft hat Regeln entworfen, die helfen sollen, Kunden zu schützen und wenn es notwendig sein sollte, werden wir weitere Schritte einleiten", sagt ein Sprecher.