Wie gefährlich ist Badlock (CVE-2016-0128/CVE-2016-2118)?

Originalbeitrag von Pawan Kinger, Director, Deep Security Labs

Bereits vor etwa drei Wochen tauchten die ersten Nachrichten über die Badlock-Sicherheitslücke in Windows und Samba-Servern in den Medien auf. Die Site badlock[.]org wurde laut WHOIS am 11. März registriert. Seither gab es viel Rätselraten und Spekulationen rund um die Sicherheitslücke, und daher ist es an der Zeit, einen Wirklichkeits-Check vorzunehmen: Wie gefährlich ist Badlock wirklich?

Benannte Sicherheitslücken werden schnell als gefährlich bewertet. Doch allein die Tatsache, dass es um eine benannte Lücke geht, macht diese noch nicht zur weitverbreiteten gefährlichen Gefahr. Badlock liegt irgendwo dazwischen, deshalb ist es nötig, den Hyper drum herum zu „entschärfen“.

Badlock wird über die Identifier CVE-2016-0128 (Microsoft) und CVE-2016-2118 (Samba) referenziert.

Gibt es dafür eine große Angriffsfläche?

Ja, denn alle Windows-Computer (einschließlich Windows 2003, Windows 2000 und Windows XP) sowie Samba-Server sind betroffen. Doch es ist nicht einfach die Sicherheitslücke auszunutzen.

Wird die Sicherheitslücke bereits ausgenutzt?

Microsofts Advisory und die Badlock-Website stellen klar, dass es keine Bericht über Angriffe gibt. Doch badlock[.]org warnt: „Wir sind uns sehr sicher, dass es bald Exploits geben wird.“

Wie schwerwiegend ist die Sicherheitslücke?

Eine der Spekulationen über Badlock rückt die Lücke nahe an MS08-067 (eine Sicherheitslücke, die von dem Conficker/DOWNAD-Wurm ausgenützt wurde). Über diese Schwachstelle konnte Conficker/DOWNAD ein ganzes Netzwerk über eine einzige Maschine infizieren und tat dies auf Millionen von Windows-Computern und Servern.

Badlock ist definitiv nicht nah dran an MS08-067. MS08-067 wurde als „kritisch“ für alle Windows-Versionen eingestuft, während Badlock von Microsoft als „wichtig“ gesehen wird. Die Bewertung durch CVSS ist 7.1, wobei die für CVE-2008-4250 (MS08-067) 10.0 betrug – die höchstmögliche also. Auch Microsofts „Exploitability Index“ für Badlock ist 3, während er für CVE-2008-4250 1 war.

 MS08-067 Badlock
 Vulnerability type  Remote Code Execution  Elevation of Privilege
 Microsoft’s Severity Rating  Critical (on all Windows platforms)  Important (on all supported Windows platform)
 Microsoft’s Exploitability Index  1  3
 CVSS Score  10.0 (CVSS 2.0)  Base 7.1

Temporal: 6.4(CVSS 3.0)

Der wichtigste Faktor bei dieser Sicherheitslücke ist die Tatsache, dass ein Angreifer erst einen Man-in-the-Middle (MitM)-durchführen muss. Das bedeutet aber, er benötigt gute Kenntnisse über das Zielnetzwerk. Es geht nicht einfach darum, ein Exploitation-Tool herunterzuladen und dann einen Exploit zu starten.

Darüber hinaus muss der Angreifer nach einem erfolgreichen Angriff höhere Privilegien erhalten. Damit kann er dann aus die SAM-Datenbank zugreifen, die dazu genutzt werden kann, um über Brute Force Passwörter zu knacken.

Im Vergleich zu MS08-067 kann ein Angreifer über jene Sicherheitslücke die Fernkontrolle über ein infiziertes System übernehmen. De ohne Authentifizierung und konnte beliebigen Code ausführen.

Was ist die Badlock-Sicherheitslücke genau?

CVE-2016-0128/CVE-2016-2118 ist eine „Elevation of Privilege“-Lücke. Laut Microsoft Bulletin „entsteht sie durch die Art und Weise, wie die Remote-Protokolle SAM und LSAD den RPC-Kanal festlegen“. Das Samba Advisory besagt: „Ein Man-in-the-Middle kann jeglichen DCERPC-Verkehr zwischen einem Client und einem Server mitschneiden, um den Client zu kapern und dieselben Rechte zu erlangen, wie das authentifizierte Nutzerkonto. Dies aber ist sehr problematisch bezüglich der Active Directory Domain Controller.”

Der Angreifer muss also den Netzwerkverkehr mitschneiden können, um einen MitM-Angriff zu starten. Dann erst ist er in der Lage, Lese- und Schreibzugriff für die SAM-Datenbank zu erlangen und die Kennwörter zu knacken. Gelingt dies, so kann er einen anderen Nutzer mimen.

Es ist sehr zu empfehlen, Patches so schnell wie möglich aufzuspielen, oder Sicherheitslösungen einzusetzen, die Schutz vor Badlock bieten.

Schutzmöglichkeiten

Microsoft und Samba haben beide Patches für die Sicherheitslücke veröffentlicht. Die Advisories gibt es hier.

Trend Micro Deep Security schützt Kunden, die nicht unterstützte Windows-Versionen einsetzen. Auch nicht unterstützte Samba-Versionen (4.1 und davor) sind geschützt. Die Regeln werden automatisch von Recommendation Scan Feature angewendet.

Trend Micro Deep Security-, Vulnerability Protection– sowie TippingPoint-Kunden sind über folgende Updates geschützt:

Deep Security Update DSRU16-009 vom 12. April 2016:

  • 1007584 – SAMBA RPC Authentication Level Downgrade Vulnerability
  • 1007586 – SAMBA RPC Authentication Level Downgrade Vulnerability – 1
  • 1007593 – Identified SAMBA DCERPC AUTH LEVEL CONNECT Password Validate Request
  • 1007531 – Microsoft Windows RPC Downgrade Vulnerability (CVE-2016-0128)
  • 1007539 – Microsoft Windows RPC Downgrade Vulnerability (CVE-2016-0128) – 1
  • 1007561 – Identified Windows DCERPC AUTH LEVEL CONNECT Password Validate Request

TippingPoint schützt mit dem folgenden MainlineDV-Filter:

  • 24259: RPC: Windows SAMR Man-in-the-Middle Vulnerability (Badlock)
  • 24260: RPC: SamrValidatePassword Method Using Unencrypted Authentication Level

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.