Bei diesem 19 Jahre alten Fehler wird Ihr Windows-Kennwort gelöscht

Hacker können sich remote bei Ihrem Windows-PC anmelden, auf Ihr Outlook-Konto zugreifen und Ihre Skype-Nachrichten anzeigen, indem Sie einen seit 1997 bestehenden Fehler ausnutzen, den Microsoft seitdem nicht repariert hat.

Durch den Fehler werden Microsoft-Kontonamen und Hash-Passwörter verloren. Das ist besser als das Aufdecken der Passwörter in Klartext - Hash-Passwörter erfordern zumindest einen gewissen Aufwand zum Entschlüsseln - aber schwache Passwörter können in wenigen Sekunden geknackt werden. In diesem Fall kann der Angreifer im Wesentlichen auf alle Microsoft-Dienste zugreifen und sich möglicherweise sogar remote bei einem mit dem Konto verbundenen Windows-PC anmelden.

„Um dies auszunutzen, würde ein Angreifer einfach eine Netzwerkfreigabe einrichten. Ein eingebetteter Bildlink, der auf diese Netzwerkfreigabe verweist, wird dann an das Opfer gesendet, beispielsweise als Teil einer E-Mail oder Website. “ Hackaday erklärt. "Sobald der vorbereitete Inhalt in einem Microsoft-Produkt wie Edge / Spartan, Internet Explorer oder Outlook angezeigt wird, versucht die Software, eine Verbindung zu dieser Freigabe herzustellen, um das Image herunterzuladen."

Das sind schlechte Nachrichten für jeden, der sein Konto mit Skype, Office, Xbox Live, OneDrive und anderen Microsoft-Diensten verbunden hat, die persönliche Daten speichern können. Es gibt jedoch eine gute Nachricht: Der Fehler betrifft nur Personen, die Internet Explorer, den neuen Edge-Browser oder Outlook verwenden, um eine gefährdete Website zu besuchen. Jeder, der einen alternativen Webbrowser oder E-Mail-Dienst verwendet, ist bereits sicher.

Perfect Privacy hat eine Website eingerichtet, mit deren Hilfe Windows-Benutzer feststellen können, ob ihre Anmeldeinformationen für Microsoft-Konten in die Welt gelangen. (Außerdem wird gewarnt, dass jeder, der den Test ausführt, seine Kennwörter sofort ändern sollte, wenn seine Anmeldeinformationen gemeinsam genutzt werden. Es genügt, dass sich jemand in diese Site einhackt, um eine Menge wertvoller Anmeldungen zu erhalten.)

Anfang dieses Monats warnte die französische National Data Protection Commission in Frankreich vor der Gefährdung der Privatsphäre von Windows 10, was bedeutet, dass dieser Fehler nur ein weiterer Grund ist, Windows 10 nicht zu nutzen, ohne sich der damit verbundenen Risiken bewusst zu sein.

Microsoft lässt diesen Fehler nicht nur seit fast zwei Jahrzehnten auf seine Kunden einwirken, sondern hat auch Windows so verändert, dass diese Sicherheitsanfälligkeit noch verheerender ist. "1997 hatte der Angreifer nur Ihre lokalen Windows-Anmeldedaten erhalten." Hackaday schreibt "In Windows 10 ist die Standard-Anmeldemethode jedoch das Microsoft-Konto des Benutzers", was bedeutet, dass jetzt vollständiger Zugriff auf das System eines anderen Benutzers möglich ist.