MÜNCHEN (COMPUTERWOCHE) - Ein neues Programm der Hackergruppe "Cult of the dead Cow" erlaubt es böswilligen Anwendern, sich auf beliebigen Rechnern und Domänen in Windows-Netzen ohne Kenntnis von Account und Passwortinformationen einzuloggen und sogar Domain-weit im Kontext des angegriffenen Rechners zu agieren.

Das Programm "SMB-Relay", das Ende März auf der Hackerkonferenz „@lanta.con“ vorgestellt wurde und seit einigen Tagen im Internet kursiert, benutzt eine seit langem bekannte Designschwäche in Microsofts Netbios-Protokoll, um als Man-in-the-Middle NT-Logon-Informationen aus der Netzkommunikation zwischen zwei Rechnern herauszufischen. Dieses Vorgehen ist an sich nicht neu und wurde schon vor Jahren von der Hackergruppe L0pht beschrieben. Neu ist indes, dass SMB-Relay nicht nur die verschlüsselte Account-Information abgreift und speichert, sondern über eine virtuelle Adresse sofort eine Netzwerkverbindung mit dem Opfer errichtet.

Der Angreifer muss also nicht mehr langwierig und unter Umständen erfolglos versuchen, das verschlüsselt übertragene Passwort zu entschlüsseln, sondern ist in Sekundenschnelle mit allen Rechten des Opfers auf dessen lokalem Rechner und in der NT-Domäne angemeldet. Der Angreifer startet dazu das SMB-Relay-Programm auf seinem Rechner und bringt den anzugreifenden Rechner beispielsweise mittels einer HTML-Mail und einem Image-Tag dazu, einen SMB-Verbindungsaufbau zu initiieren. Der angegriffene Rechner versucht dann (erfolglos), eine Netbios-Verbindung zum Angreifer aufzubauen, und gibt dabei alle verfügbaren User-Namen und verschlüsselte Passwörter des Opfers preis.

An dieser Stelle tritt SMB-Relay mit einer Man-in-the-Middle-Attacke in Aktion: Es nimmt den auf Port 139 ankommenden Netbios-Netzverkehr an, weist die eingehende Verbindung ab, speichert aber alle vom Opfer übertragenen Account-Informationen, um sich gleich darauf mit dieser Information auf dem PC des ahnungslosen Opfers anzumelden. Zusätzlich wird der vom Opfer übergebene verschlüsselte Passwort-Hash für eine spätere Auswertung auf die Festplatte des Angreifers gespeichert. Das Opfer ist machtlos: Windows überträgt bei Netbios-Verbindungsversuchen standardmäßig die gehashten Account-Informationen, ohne dass das Opfer etwas dagegen tun kann. Betroffen sind alle Windows-Rechner, auf denen Netbios aktiviert ist.

Der Hacker kann nun die von SMB-Relay aufgebaute Verbindung über eine virtuelle Netzadresse auf seinem PC nutzen und beliebige Netzwerkverbindungen zum angegriffenen Rechner aufbauen, ohne Login und Passwort des Opfer zu kennen. Sofern das Opfer Mitglied einer NT-Domäne ist, ist auch ein Domain-Login mit allen Rechten des Opfers möglich. Die von SMB-Relay extrahierten und abgespeicherten Passwort-Hashes lassen sich mit gängigen Passwort-Crackern wie L0phtcrack entschlüsseln, sofern es sich nicht um wirklich sichere Passwörter mit mindestens zehn Zeichen und Sonderzeichen aus Zeichenkombinationen handelt, die sich nicht in einem Wörterbuch wiederfinden.

Eine wirklich praktikable Gegenmaßnahme gibt es derzeit nicht. Der Autor von SMB-Relay empfiehlt, Netbios nicht zu verwenden und den TCP-Port 139 auf den Rechnern abzuschalten oder auf Firewalls und Routern zu blockieren. Alternativ dazu kann die SMB-Authentifizierung auf das LAN-Manager-2.0-Protokoll beschränkt werden. Da jedoch die Anwender in fast allen Netzen mit Netbios-Verbindungen arbeiten, dürfte zumindest eine netzinterne Blockade von Port 139 in den meisten Netzwerken aus Kompatibilitätsgründen unmöglich sein.

Dringend zu empfehlen ist allerdings eine Blockade von Port 139 auf dem Internet-Gateway beziehungsweise der Firewall, um externe Zugriffe mittels SMB-Relay zu blockieren. Auf Arbeitsplätzen, die auf sicherheitskritsche Daten zugreifen, sollte Netbios auch für netzinterne Verbindungen vorerst deaktiviert oder blockiert werden. Dies kann über eine Personal Firewall oder auch über die Ipsec-Mechanismen in Windows 2000 geschehen.