ZURÜCK ZU NACHRICHTEN
Exploits

Kritische NTLMv2-Hash-Offenlegungslücke in Windows 10 Version 22H2 (CVE ausstehend)

2 Min. LesezeitQuelle: Exploit Database

Sicherheitsforscher enthüllen eine kritische Schwachstelle in Windows 10 Version 22H2, die NTLMv2-Hash-Diebstahl ermöglicht. Erfahren Sie, wie Unternehmen sich schützen können.

Kritische NTLMv2-Hash-Offenlegungslücke in Windows 10 Version 22H2 identifiziert

Sicherheitsforscher haben eine kritische Schwachstelle in Microsoft Windows 10 Version 19045 (22H2) entdeckt, die eine Offenlegung von NTLMv2-Hashes ermöglicht. Dies könnte Angreifern den Diebstahl von Anmeldedaten und die laterale Bewegung innerhalb kompromittierter Netzwerke erlauben. Der Exploit wurde auf der Exploit Database (EDB-ID: 52415) veröffentlicht und stellt ein erhebliches Risiko für Unternehmen dar, die auf Windows-10-Umgebungen angewiesen sind.

Technische Details der Schwachstelle

Die Lücke resultiert aus der unsachgemäßen Verarbeitung von NTLMv2-Authentifizierungsantworten, wodurch Angreifer gehashte Anmeldedaten im Transit abfangen können. NTLMv2 (NT LAN Manager Version 2) ist ein Challenge-Response-Authentifizierungsprotokoll, das in Windows-Umgebungen für die Netzwerkauthentifizierung verwendet wird. Bei erfolgreicher Ausnutzung könnte diese Schwachstelle Folgendes ermöglichen:

  • Diebstahl von Anmeldedaten durch Man-in-the-Middle-Angriffe (MITM) oder gefälschte Server
  • Pass-the-Hash-Angriffe, die die Eingabe von Passwörtern umgehen
  • Laterale Bewegung innerhalb eines Netzwerks nach der ersten Kompromittierung

Zum Zeitpunkt der Veröffentlichung wurde dieser Schwachstelle noch keine CVE-ID zugewiesen. Sicherheitsverantwortliche sollten jedoch die Sicherheitshinweise von Microsoft auf Aktualisierungen und Patches hin überwachen.

Auswirkungsanalyse

Die NTLMv2-Hash-Offenlegungslücke stellt ein hohes Risiko für Organisationen dar, insbesondere für solche mit:

  • Legacy-Systemen, die weiterhin auf NTLM-Authentifizierung angewiesen sind
  • Ungepatchten Windows-10-Version-19045-(22H2)-Installationen
  • Fehlkonfigurierten Netzwerksicherheitsrichtlinien, die NTLM-Verkehr zulassen

Eine erfolgreiche Ausnutzung könnte zu Privilegienerweiterung, Datenlecks oder vollständiger Domänenkompromittierung führen, insbesondere in Kombination mit anderen Angriffstechniken. Unternehmen sollten ihre Exposition bewerten und Abhilfemaßnahmen priorisieren.

Empfehlungen für Sicherheitsteams

Um die mit dieser Schwachstelle verbundenen Risiken zu mindern, sollten Sicherheitsexperten folgende Maßnahmen ergreifen:

  1. NTLM-Authentifizierung deaktivieren, wo möglich, und Kerberos als primäres Authentifizierungsprotokoll durchsetzen.
  2. Die neuesten Sicherheitsupdates von Microsoft anwenden, sobald ein Patch für Windows 10 Version 19045 veröffentlicht wird.
  3. Netzwerkverkehr auf ungewöhnliche NTLM-Authentifizierungsversuche mit SIEM- oder EDR-Lösungen überwachen.
  4. SMB-Signierung implementieren, um Relay-Angriffe auf NTLM-Hashes zu verhindern.
  5. Eine Sicherheitsprüfung durchführen, um Systeme zu identifizieren, die noch NTLM verwenden, und diese auf moderne Authentifizierungsmethoden migrieren.

Sicherheitsteams werden aufgefordert, den Exploit-Code (EDB-ID: 52415) zu prüfen und ihre Umgebungen auf Anfälligkeit zu testen. Microsoft hat noch keinen offiziellen Sicherheitshinweis herausgegeben, aber proaktive Maßnahmen können die Exposition gegenüber dieser kritischen Schwachstelle verringern.

Teilen

TwitterLinkedIn