Sicherheitslücke in der Management Console
19. Juni 2019Mehrere Schwachstellen in Microsofts Management Konsole (MMC) wurden aufgedeckt. Die Gute Nachricht dabei: Es stehen inzwischen entsprechende Sicherheitsupdates bereit, um die Lücke zu schließen.
MMC verfügt über eine integrierte Snap-In-Komponente, die wiederum mehrere Mechanismen wie ActiveX Control oder weiterführende Weblinks beinhalten. Potentielle Angreifer können nun durch den Snap-In-Link zur Web Adresse eine URL zu einem „fremden“ Server einfügen, die beispielsweise eine HTML-Seite mit Schadcode enthält. Wird nun etwa eine manipulierte MMC-Datei öffnet, wird eine Web-Ansicht geöffnet (innerhalb des MMC-Fensters) und der Schadcode im Anschluss ausgeführt.
Mit diesem Vorgehen lassen sich bösartige URL-Links einzufügen, die entsprechende Malware enthalten. Auch sind Umleitungen auf einen SMB-Server möglich, der den NTLM-Hash (MT LAN Manager) des Benutzers erfasst. So kommen Hacker an die Möglichkeit, sich als authentifizierter Benutzer auszugeben. Das ist besonders kritisch zu sehen, falls Single-Sign-On (SSO) auf den betroffenen Systemen eingesetzt wird. Denn so stehen den Hackern weitere Dienste, Daten und Applikationen offen, ohne dass eine erneute Passwortabfrage umgangen werden muss. Weiterhin ist es möglich, VBS-Skript auf dem Host des Opfers über die genannte Web-Ansicht auszuführen.
Laut Microsoft ist es ausreichend, die aktuellen Windows-Updates aufzuspielen, die Lücke wird auf diese Weise automatisch geschlossen. Auf die Sicherheitslücken machte CheckPoint aufmerksam
Florian Huttenloher