Jüngste Entwicklungen haben Schwachstellen im Vorschaubereich des Windows-Datei-Explorers aufgezeigt, die NTLM-Passwort-Hashes offenlegen können. Solche Exploits ermöglichen es Angreifern, diese Anmeldeinformationen offline wiederzuverwenden oder zu knacken. Als Reaktion auf dieses Risiko hat Microsoft die Dateivorschau für heruntergeladene Inhalte in den neuesten Windows-Updates deaktiviert. Dieser Leitfaden beschreibt wichtige Strategien zum Schutz vor potenziellen NTLM-Hash-Lecks durch die Datei-Explorer-Vorschau.
Die Schwachstellen der Datei-Explorer-Vorschauen verstehen
NT LAN Manager (NTLM) dient als Authentifizierungsprotokoll von Microsoft für verschiedene Windows-Konten und -Dienste. Obwohl es aufgrund seiner Sicherheitsmängel weitgehend durch Kerberos ersetzt wurde, wird NTLM aus Gründen der Abwärtskompatibilität weiterhin verwendet. Leider schafft seine Präsenz ausnutzbare Bedingungen.
Angreifer können die Vorschaufunktion im Datei-Explorer nutzen, um NTLM-Anfragen auszuführen, die lokale oder Domänenkennwörter in gehashter Form offenlegen können. Enthält die Datei während der Vorschau Anweisungen für NTLM-Anfragen, kann Windows diese Anfragen versehentlich verarbeiten und gehashte Kennwörter an schädliche Server übertragen. Cyberkriminelle können dann versuchen, diese Hashes offline zu knacken oder Pass-the-Hash-Angriffe starten.
Microsoft hat die anhaltende Bedrohung durch diese Angriffe anerkannt. Daher werden mit den neuesten Updates Vorschauen für Dateien, die mit Mark of the Web (MoTW) gekennzeichnet sind – in der Regel aus dem Internet heruntergeladene Dateien – nicht mehr angezeigt.
Schützen Sie Ihr System vor NTLM-Hash-Lecks
Um die Risiken von NTLM-Hash-Lecks, insbesondere bei Downloads aus dem Internet, zu minimieren, müssen Benutzer bestimmte Sicherheitsmaßnahmen ergreifen, da Microsoft Defender NTLM-Anforderungsversuche allein durch Dateiscans nicht eindeutig erkennt. Nachfolgend finden Sie praktische Schritte zur Stärkung Ihrer Abwehr:
- Halten Sie Windows auf dem neuesten Stand: Stellen Sie sicher, dass Ihr Betriebssystem auf dem neuesten Stand ist. Das Sicherheitsupdate vom 14. Oktober hat die Dateivorschau für MoTW-Dateien deaktiviert. Navigieren Sie in Windows 11 zu Einstellungen → Windows Update, um alle verfügbaren Updates zu prüfen und zu installieren.
- Führen Sie eine Online-Verhaltensanalyse durch: Standard-Antivirenscans erkennen möglicherweise keine schädlichen NTLM-Anfragen. Wenn Sie den Verdacht haben, dass eine Datei schädlich sein könnte, verwenden Sie ein Verhaltensanalyse-Tool, um die Datei in einer sicheren Umgebung (Sandbox) zu öffnen und ihr Verhalten zu überwachen. Tools wie Joe Sandbox und MetaDefender sind hierfür hervorragende Optionen.
- Sichern Sie Ihre NTLM-Anmeldeinformationen: Schützen Sie Ihre NTLM-Anmeldeinformationen proaktiv und reduzieren Sie so das Risiko eines erfolgreichen Datendiebstahls deutlich. In diesem Handbuch werden detaillierte Methoden zum Sichern von Windows-NTLM-Anmeldeinformationen beschrieben.
- Testen Sie das Dateiverhalten in einer virtuellen Maschine: Erstellen Sie eine virtuelle Umgebung, um das Verhalten verdächtiger Dateien zu bewerten, ohne Ihr Hauptsystem zu gefährden. Sie können entweder Hyper-V oder virtuelle Maschinenanwendungen von Drittanbietern verwenden, um die Netzwerkaktivität während der Vorschau zu beobachten.
- Deaktivieren Sie die Vorschau im Datei-Explorer systemweit: Um NTLM-Hash-Lecks durch Dateivorschauen vollständig zu verhindern, sollten Sie die Vorschauhandler vollständig deaktivieren.Öffnen Sie den Datei-Explorer, wählen Sie im Menü „Mehr anzeigen“ die Option „Optionen“, navigieren Sie zur Registerkarte „Ansicht “ und deaktivieren Sie die Option „ Vorschauhandler im Vorschaubereich anzeigen“.
Sichere Vorschau vertrauenswürdiger Dateien
Wenn Sie feststellen, dass eine heruntergeladene Datei sicher ist und Sie trotz der Änderungen im neuesten Windows-Update eine Vorschau anzeigen möchten, müssen Sie die Datei entsperren. So geht’s:
Klicken Sie mit der rechten Maustaste auf die Datei und wählen Sie Eigenschaften. Suchen Sie auf der Registerkarte Allgemein den Abschnitt Sicherheit und aktivieren Sie das Kontrollkästchen Entsperren, bevor Sie die Änderungen bestätigen. Dadurch können Sie eine Vorschau der Datei anzeigen.
Das Entsperren einzelner Dateien kann jedoch mühsam sein. Verwenden Sie zum Entsperren mehrerer Dateien einen PowerShell-Befehl in einem bestimmten Ordner, in dem alle Dateien gespeichert sind. Halten Sie gedrückt Shift, klicken Sie mit der rechten Maustaste in einen leeren Bereich und wählen Sie PowerShell-Fenster hier öffnen.
Führen Sie in PowerShell den folgenden Befehl aus:
Get-ChildItem -File | Unblock-File
Dadurch werden alle Dateien im angegebenen Ordner entsperrt und Sie können eine entsprechende Vorschau anzeigen.
Obwohl die fehlende Möglichkeit zur standardmäßigen Vorschau von Dateien ärgerlich sein kann, sind solche Maßnahmen für die Sicherheit unerlässlich, bis NTLM in zukünftigen Windows-Versionen endgültig abgeschafft wird. Darüber hinaus kann die konsequente Verwendung starker und eindeutiger Passwörter dazu beitragen, die Folgen einer möglichen Offenlegung von NTLM-Hashes zu mildern.
Schreibe einen Kommentar