Fehler ermöglicht Angreifern, die Windows-Zeitsynchronisationssoftware zu kapern, die zur Verfolgung von Sicherheitsvorfällen verwendet wird

Cyber Security News

Eine Schwachstelle für Remote-Code-Ausführung ermöglicht es Angreifern, den Update-Prozess einer beliebten Windows-Zeitsynchronisierungssoftware – Domain Time II von Greyware – zu kapern, indem sie eine Man-on-the-Side (MotS)-Schwachstelle ausnutzen… (Foto: Drew Angerer/Getty Images)

Forscher von GRIMM gaben am Dienstag bekannt, dass sie eine Remote Code Execution (RCE)-Schwachstelle gefunden haben, die es Angreifern ermöglicht, den Update-Prozess einer beliebten Windows-Zeitsynchronisationssoftware – Greywares Domain Time II – durch Ausnutzung einer Man-on-the-Side (MotS)-Schwachstelle zu kapern.

Domain Time II sorgt für eine exakte Zeit in einem ganzen Netzwerk, indem es verschiedene Quellen wie GPS-Uhren und Internet-Zeitserver nutzt, die dann mit extremer Genauigkeit mit der Systemuhr abgeglichen werden.

Adam Nichols, Principal of Software Security bei GRIMM, sagte, dass Sicherheitsprofis dies zur Kenntnis nehmen sollten, da jede Unterbrechung der Zeitsynchronisationssoftware es praktisch unmöglich machen könnte, einen Sicherheitsvorfall zu verfolgen – und jede Abfolge von Ereignissen, die für das Unternehmen oder die Aufsichtsbehörden wichtig sind.

“Die Zeitsynchronisation gilt nicht nur für Sicherheitsereignisse”, so Nichols weiter. “Finanzielle Transaktionen könnten möglicherweise in einer anderen Reihenfolge aufgezeichnet werden. Zeitsynchronisation ist oft auch ein Compliance-Thema. Beispielsweise sind viele Organisationen im Finanzsektor verpflichtet, die Zeitsynchronisation in bestimmten Umgebungen aufrechtzuerhalten und müssen bei Nichteinhaltung mit Geldstrafen rechnen.”

Während also ein Man-in-the-Middle (MitM)-Angriff es Hackern ermöglicht, den Netzwerkverkehr zwischen zwei Endpunkten zu lesen und zu verändern, kann der Angreifer bei einem MotS-Angriff diesen Verkehr nur lesen. Diese MotS sind immer noch gefährlich, so Nichols, weil Angreifer Malware in den Update-Prozess einschleusen können.

“Ein Angreifer kann einen Benutzer dazu verleiten, eine vom Angreifer kontrollierte Nutzlast unter dem Deckmantel eines routinemäßigen Software-Updates herunterzuladen und auszuführen”, sagte Nichols. “Da der Angriff im Kontext eines MotS durchgeführt wird, kann der Angreifer die zwischen einer lokalen Installation und dem Update-Server ausgetauschten Daten nicht manipulieren. Allerdings kann der Angreifer seine eigenen Antworten aussenden und mit dem legitimen Datenverkehr ‘Rennen’ machen. Gewinnt der Angreifer das ‘Rennen’, öffnet die lokale Installation ein Browser-Fenster und leitet es auf eine vom Angreifer bereitgestellte URL weiter.”

In einem Blog-Post erklärten die Forscher, dass die Schwachstelle durch das Private Vulnerability Disclosure (PVD)-Programm von GRIMM entdeckt wurde. Domain Time II wird typischerweise auf Domain-Controllern und jedem Endpunkt installiert. Ein Patch wurde von Greyware am 31. März veröffentlicht.

Zu den Kunden von Greyware gehören viele Top-Unternehmen und wichtige Regierungsbehörden. Die Liste reicht von NASDAQ, Finra, Dow Jones, London Stock Exchange, Barclay’s, Blue Cross, Citi, Credit Suisse und JP Morgan Chase bis hin zu den Verteidigungs- und Raumfahrtgiganten Lockheed Martin, General Dynamics und Northrop Grumman. Zu den Kunden der Regierungsbehörden gehören die Army und Navy, die Federal Aviation Administration und das US-Finanzministerium.

Auf den ersten Blick mag diese Schwachstelle und die betroffene Software wie etwas klingen, um das man sich kümmert, wenn das Team Zeit und freie Ressourcen hat, sagte Dirk Schrader, Global Vice President, Security Research bei New Net Technologies.

“Tatsache ist, dass ohne eine ordnungsgemäße Zeitsynchronisation über alle Geräte in einer bestimmten Infrastruktur eine Korrelation zwischen einzelnen Ereignissen, um einen Vorfall aufzuspüren, unmöglich ist”, sagte Schrader. “Eine funktionierende Zeitsynchronisation ist eines der wesentlichen Dinge, die vorhanden sein und gepflegt werden müssen, um einen Cyber-Sicherheits-Workflow zu ermöglichen. In diesem Fall ist es sogar noch schlimmer, da der Exploit das Herunterladen und Ausführen von bösartigen Dateien ermöglicht. Diese Kombination, also die Möglichkeit, die Zeitsynchronisation zu manipulieren und gleichzeitig – zum Beispiel – eine Backdoor zu installieren, ist nichts, was Sysadmins in der von ihnen verwalteten Infrastruktur haben möchten.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com