matomo

Sonderangebot: Spare $144,12 bei unserem Jahres-Abonnement

SMB kann zur Dekanonymisierung von Internet-Benutzern verwendet werden

David Wibergh, Über uns Online-Datenschutz

Ein von ValdikSS verfasster Blog-Beitrag erklärt, wie ein Angreifer die in Windows eingebaute Funktion "Server Message Block" (SMB) verwenden kann, um den NTLM-Hash eines Benutzers sowie die mit dem aktuellen Konto verbundene E-Mail-Adresse zu erfassen.

Diese Methode ist nicht gerade neu, aber was der Autor hervorhebt, sind die Auswirkungen auf die Privatsphäre. Es ist daher möglich, nur eine Seite zu besuchen und dann ohne Ihr Wissen persönliche Informationen an einen anderen Bereich zu senden.

Die Schwachstelle zusammengefasst:

  • Es funktioniert nur unter Windows
  • Sie müssen Internet Explorer oder Edge verwenden, damit es automatisch funktioniert.
  • Es funktioniert in Chrome und Firefox, aber dann müssen Sie eine Adresse manuell besuchen, indem Sie sie in die Adressleiste eingeben

Wir vom OVPN wurden vor der Veröffentlichung des Artikels kontaktiert, so dass wir Zeit hatten, dies zu korrigieren. Es stellte sich jedoch heraus, dass dies leichter gesagt als getan war. Das liegt daran, dass die einzige Lösung darin besteht, drei Ports auf allen unseren VPN-Servern zu blockieren. Darüber hinaus können diese Ports von unseren Benutzern rechtmäßig verwendet werden. Wir haben dieses Problem intern diskutiert und sind zu dem Schluss gekommen, dass es am besten ist, wenn wir klären, wie sich die Kunden schützen können, anstatt Ports auf unseren VPN-Servern zu blockieren.


Empfehlung

Wir empfehlen Windows-Benutzern, eine Regedit-Datei anzuwenden, um dieses Problem zu beheben. Dies ist sehr einfach, Sie müssen nur diesen Inhalt speichern:

Windows Registry Editor Version 5.00
[HKEY\_LOCAL\_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
"RestrictReceivingNTLMTraffic"=dword:00000002
"RestrictSendingNTLMTraffic"=dword:00000002

in einer Datei namens "fix.reg". Doppelklicken Sie dann auf die Datei und drücken Sie "OK", wenn UAC Sie auffordert, die Aktion zu genehmigen.

Um zu testen, ob es funktioniert, können Sie die Seite hier besuchen: http://witch.valdikss.org.ru/ - Wir möchten Sie jedoch davor warnen, die Seite zu besuchen, da sie Ihre private E-Mail sowie NTML-Hash an eine externe Domäne sendet. Für alle Fälle können Sie die Seite besuchen, nachdem Sie den obigen Fix angewendet haben.

Wir werden diesen Fix in naher Zukunft in unseren Client aufnehmen, aber bis dahin sollten Sie den Patch manuell anwenden.

David Wibergh