Warum gibt es zusätzliche Sicherheitsfragen seit 2018 auf Windows 10?

Angreifer mit administrativer Kontrolle können die Funktionen ausnutzen um eine hartnäckige Hintertür zu erstellen.

Sicherhietsfragen- die nervigen kleinen geheimnisse, die man teilen muss und die als zweite Form von Authentifizierung dienen. Es gibt sie schon ewig und werden dazu benutzt denjenigen zu helfen, die ihr Passwort vergessen haben. Das wird mehr und mehr geändert, besonders auf Google und Facebook, weil die Sicherheitsfragen zu einfach sind und, wie auch Sarah Palin auf die harte Art lernen musste in 2008, die Antworten zu einfach geraten werden können.

Der erste Blick fällt dabei auf Microsoft, welches früher dieses Jahrs angefangen hat andere Sicherheitsfragen auf Windows 10 hinzuzufügen. Es erlaubt Nutzern eine eigene Liste an Fragen zu erstellen, die sie später, im Fall des Vergessens, wieder beantworten können, um die Kontrolle über das Konto zurückzugewinnen. Bei der Beantwortung von beispielsweise “Was war dein erstes Auto?”, kann der Nutzer auf den Computer zugreifen. Es dauerte nicht lange für Forscher, um eine Schwäche zu entdecken, in der neuen Herangehensweise. Sie präsentierten ihren Fund heute bei der Black Hat Europa Sicherheitskonferenz in London.

“Dauerhafte, verstohlene Hintertür”

Das Problem, auf das die Forscher hinweisen ist, dass das Zurücksetzen eines Passworts mittels einer Frage zu einfach einzustellen ist, aber es unmöglich ist den Überblick zu bewahren in einem Netzwerk von hunderten Computern. Eine einzige Person mit administrativen Fähigkeiten kann aus der Entfernung alle Fragen abschalten, oder Verändern auf jedem Computer mit Windows 10 und es gibt keinen einfachen Weg die Änderungen aufzuzeichnen oder wieder zu ändern. Als Ergebnis könnte ein Benutzer – falls ein Eindringling kurzfristige Administrations-Zugriff erhält – diese Hintertür benutzen, um die Kontrolle wieder zu übernehmen.

“Sobald ein Angreifer in einer kompromittierten Domain ist, wird jede Windows 10 Maschine, auf die er Zugriff und Admin Privilegien hat, kann dank der Sicherheitsfragen für administrative Nutzer auf der Maschine eine stetige Hintertür kreiert werden.”, sagt Magal Baz, eine Sicherheits-Forscherin bei Illusive Networks, in einem Interview mit Ars. “Man kann jede Windows 10 Maschine mit den Sicherheitsfragen verwenden und diese Hintertür. Ohne seinen eigenen Code zu verraten, kann man einen entfernten Zugang erstellen und für sich selbst diese dauerhafte und verstohlene Hintertür öffnen.”

Eine Technik um diese Fähigkeit auszunutzen ist für jemanden mit administrativer Kontrolle aus der Ferne Sicherheitsfragen zu verteilen und die Antworten zu Speichen. Mit der Information der Antworten, kann der Angreifen sich der Macht über das Netzwerk sicher sein.

Die Forscher beschrieben außerdem eine Methode für fernes Zugreifen auf die Passwort Zurücksetzung, nachdem die Sicherheitsfragen bereits verteilt und beantwortet sind. Normalerweise wäre die Passwort Zurücksetzung nicht von außerhalb zugänglich. Aber um Windows 10 kompatibel mit früheren Windows Versionen zu machen, ist die neue OS Version so konfiguriert, dass Benutzer sich einloggen können über den normalen Win-log-on Bildschirm und von dort aus kann das Passwort zurückgesetzt werden. Nachdem die Angreifer beim Passwort angekommen sind, muss man die Sicherheitsfragen beantworten, was nun kein Problem mehr darstellen sollte. Um einen Angriff zu vertuschen kann das Passwort wieder zurückgesetzt werden auf das ursprüngliche Passwort. Dieser Vorgang wird ermöglicht von dem Mimikatz tool um das vorherige Passwort zu erkennen.

Als die Forscher anfingen sich die Windows 10 Sicherheitsfragen genauer anzuschauen, gab es noch keinen Weg der den Zugriff den Administratoren zu allen Windows 10 Maschinen in einem Netzwerk erlaubte. Ebenso keinen Weg herauszufinden, ob die Sicherheitsfragen verändert worden waren und kein Weg sie zurückzusetzen. Die Forscher fingen an genau diese Funktion zu erstellen, welche sie jetzt veröffentlichen. Zuzüglich dazu erlaubt das neue Tool den Administratoren die gesamten Sicherheitsfragen auszuschalten, oder zu etwas ändern, was du die Admins kennen, wie beispielsweise Quatschwörter.

Die Forscher rufen Microsoft dazu auf ihre Sicherheitsfragen Situation zu verbessern. Entweder sollen sie eine bessere Überwachung direkt auf dem OS zur Verfügung stellen oder andere Veränderungen vornehmen, um derartige verbrechen vorzubeugen. Als Ars Microsoft darauf ansprach bekamen wir folgende Antwort: “Die beschriebene Technik verlangt einen Angreifer der bereits administrativen Zugriff hat.”

Die Aussage findet man unter “When Everyone’s Dog is Named Fluffy: Abusing the Brand New Security Questions in Windows 10 to Gain Domain- Wide Persistence.” Besides Baz und Tom Sela sind die Forschungszuständigen bei Illusive Networks und nahmen ebenfalls Teil. Sie sagten ihr Ziel sei es Bewusstsein ins Leben zu rufen für eine Eigenschaft die gefährlich werden könnte.

“Wir schauen nicht zu, wie eine Katastrophe passiert, aber eine Eigenschaft wie diese kreiert eine größere Angriffsfläche,” sagte Baz. “Es kreiert mehr Möglichkeiten für Persistenz an Maschinen. Es kreiert Möglichkeit für Angreifer innerhalb eines Netzwerks. Wenn es nicht gemildert wird gibt es einen blinden Fleck, der von Angreifern verwendet werden wird.”