Wie ist es möglich, daß eine bereits längst geschlossene Sicherheitslücke, die zudem vor kurzem medienwirksam ausgenutzt wurde, immer noch sperrangelweit offen steht?
Die Verteilung läuft in diesem Fall wohl über mehrere Methoden. Es wird versucht, über administrative Shares von PC zu PC zu kommen, was funktionieren kann, wenn mehrere Systeme die gleichen lokalen Adminkennwörter haben. Abhilfe ist hier z.B. LAPS, welches es auch nicht erst seit gestern gibt.
Zudem wird noch auf Passwörter gescannt mit einem eingebauten Tool, welches wohl ähnlich wie Mimikatz arbeitet. Abhilfe hier sind Schutzfunktionen wie CredentialGuard, die es nur in Windows 10 Enterprise gibt. Ob die allgemeine Härtung von NTLM in dem Fall was bringt, weiß ich nicht.
Zudem geht das Ding wohl etwas vorsichtiger vor und scannt nicht einfach das Netz nach Opfern, sondern bezieht in einer Domäne die Liste der anderen Computer ganz brav vom nächsten DC. Damit wird evtl. dann auch eine eventuell eingesetzte Überwachungssoftware nicht so schnell wegen "lateral movement" aufmerksam.
Das Ding ist also schon etwas komplexer, als dass man "nur" die olle SMB Lücke wieder angehen würde.
- - - Beitrag zusammengeführt - - -
Microsoft hat sich nun dazu entschlossen, EMET (Enhanced Mitigation Experience Toolkit), anstatt wie vormals geplant zu streichen, in Windows 10 Redstone 3 in den Kernel zu packen. Eine erste Version mit vollständiger EMET-Integration erschien Mitte dieses Monats als Insider Build.
In den Kernel selber wird das wohl nicht gepackt. Die entsprechenden Funktionen werden über das einimpfen einer DLL in die entsprechenden Prozesse nachgeladen, wie es bei EMET selber auch passiert.
Ich hoffe nur, dass man nicht den Fehler macht und auch diese Funktion nur wieder in die Enterprise Version packen wird, wie es bei z.B. CredentialGuard der Fall ist.
EMET hat ja den großen Vorteil, dass es überall läuft.
