Lekt jouw Windows ook logindata?

Discussieforum voor vragen, mededelingen en waarschuwingen op het gebied van computerbeveiliging en privacy.
Plaats reactie
Gebruikersavatar
Abraham54
PC Web Plus - Member
PC Web Plus - Member
Berichten: 103
Lid geworden op: 04 jan 2012 09:59
Kennisniveau: (3) Expert
OS: Windows 10 Prof x64
AV: Windows Defender
AM: Malwarebytes MBAM Free
FW: Windows Firewall
Contacteer:

#1

Lek in WindowsAl sinds Windows 95 zit er een lek in Windows en Microsoft wil er schijnbaar niets aan doen.
Wat is het geval - sinds Windows 8 kan jij je aanmelden met het Microsoft account,
zodat je automatisch kan inloggen op alle diensten van Microsoft, zoals Skype, OneDrive enz.

Websites zijn nu in staat via dat lek jouw aanmeldingsgegevens te kunnen achterhalen of wanneer je e-mail leest.

Een lek, dat teruggaat in de tijd naar Windows 95 zorgt nu voor grote veiligheidsproblemen in Windows 8 en Windows 10.

Waar het eigenlijk om gaat is het gegeven, dat Microsoft Edge, Internet Exploer, Outlook en andere Microsoft producten verbindingen toestaan met het lokale netwerk.
Wat de standaard instellingen echter niet verhinderen, is dat bovendien die programma's verbinding maken met externe netwerken.

Een aanvaller kan hiervan gebruik maken door het creëren van een speciale website of het sturen van een e-mal met ingesloten afbeelding
of andere inhoud welk is gedownload via een extern netwerk.

Microsoft producten zoals Edge, Outlook of Internet Explorer trachten de netwerkbron te laden en zenden hierbij de actieve Windows
Log-in gebruikersaanmelding, gebruikersnaam en het aanmeldingswachtwoord naar dat externe adres.

De Gebruikersnaam wordt als tekst verstuurd en het wachtwoord als een NTLMv2 hash
Er ontstaan dus twee kritieke kwesties hierdoor.
Als eerste worden de accountgegevens aan derden doorgegeven, die daarmee kunnen experimenteren door te proberen het wachtwoord te ontcijferen.

Ten tweede, vanwege deze informatielekken kan dit leiden tot een privacy kwestie indien juist TOR- of VPN wordt gebruikt,
juist om de veiligheid te verbeteren op het wereldwijde web.

De reden dat de aanval meer kan opbrengen bij gebruik van Windows 8 en Windows 10 is omdat veel gebruikers inloggen met hun Microsoft account op die besturingssystemen.
Daarom worden Microsoft account gegevens gelekt naar de netwerken en niet een lokale gebruikersnaam met dito wachtwoord.

Jij kan testen of jouw Windows lekt of niet.
Ik heb die tests gedaan met mijn Windows 8.1 en in beide tests werd er niks gevonden wat betreft aanmeldingsgegens, omdat ik lokaal inlog in mijn Windows 8.1 Professional.

Test 1: Valdik's Whitchhttps://medium.com/@ValdikSS/deanonymizing-windows-users-and-capturing-microsoft-and-vpn-accounts-f7e53fe73834#.wnhgxpihk

Test 2: Are you leaking Windows/VPN Login-Data?

Test 2 zal aangeven dat deze enkel werkt met Edge en Internet Explorer.



Aanvulling:

Via het Windows register is het mogelijk het verzenden van aanmeldingsdata uit te schakelen.

Afbeelding

Navigeer naar HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0 zoals het venster dat ook aangeeft.

Dan moeten daar twee DWord (32Bit) waardes aangemaakt worden:

a) RestrictReceivingNTLMTraffic
en
b) RestrictSendingNTLMTraffic en geef beide waardes de waarde 2 (Hexadecimaal)


Bovenstaande kan je ook als Registertweek in één keer uitvoeren

Alles wat hier boven staat beschreven in één keer als registertweak uitvoeren

De registertweak maken: open een nieuw kladblokdocument en kopieer en plak vervolgens de hieronder in het code-vak weergegeven registeropdracht in het geopende Kladblokvenster:
(gebruik geen andere tekstverwerker dan Kladblok, anders mislukt hetgeen u wil doen!)

Code: Selecteer alles

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
"RestrictReceivingNTLMTraffic"=dword:00000002
"RestrictSendingNTLMTraffic"=dword:00000002
Klik daarna in de menubalk van Kladblok op Bestand en kies voor Opslaan als:
  • bij "Bestandsnaam" zet je MSV.reg,
  • kies als opslaan lokatie bij voorkeur het bureaublad,
  • bij "Opslaan als" kies je voor Alle bestanden (*,*).
Dubbelklik op Tweak.reg en ga 2x akkoord met de Windows meldingen.

Is de melding dat de gegevens zijn toegevoegd aan het Windows register, start dan daarna de computer opnieuw op.


Ook via Lokaal Beveiligingsbeleid dient er nog een instelling aangepast te worden.

Afbeelding

De instelling bij Netwerkbeveiliging: NTLM beperken: uitgaand NTLM-verkeer naar externe servers dient op Alles weigeren gezet te worden.

Ontstaan er er daarna toch problemen met externe serveraanmelden - start dan Lokaal Beveiligingsbeleid wederom op.

Dubbelklik dan op Netwerkbeveiliging: NTLM beperken: uitzonderingen voor externe servers toevoegen voor NTLM-authenticatie en voeg dan de betreffende server(s) dan toe in het venster.

Afbeelding


Kan Lokaal Beveiligingsbeleid niet gevonden worden, ga vervolgens naar Start\Uitvoeren en de opdracht luidt: secpol.msc.
Klik op de knop OK.
N.B.: Uitvoeren kan ook gestart worden door gelijktijdig de "Windowstoets + R-toets" in te drukken.


Wachtwoordverandering

Hebben beide tests aangegeven dat er gegevens gelekt worden, dan dient zondermeer overwogen te worden om de gebruikte wachtwoorden te vernieuwen.
  • Gebruik jij een eigen wachtwoord om in te loggen in jouw Windows, verander dat wachtwoord dan via Configuratiescherm » Gebruikersaccounts
  • Gebruik jij jouw Microsoft account om in te loggen in jouw Windows, verander dan vervolgens het wachtwoord via Microsoft.
Firewall

Ter overweging: in plaats van de Windows Firewall een Firewall van derden gaan gebruiken.
Bijv.: ZoneAlarm Firewall (ga je die gebruiken, dan kan het gebeuren dat je op het e-mailadres waaronder jij je geregistreerd hebt,
jij een aanbieding krijgt om de Pro versie tegen een aantrekkelijk gereduceerde prijs aan te schaffen).
09-0816: Test 1 aangepast; link gaat nu naar de test site van Valdik
10-08-16: Wachtwoordverandering en Firewall toegevoegd
Laatst gewijzigd door Abraham54 op 11 aug 2016 14:46, 4 keer totaal gewijzigd.
Domheid is ook een gave God's, maar men mag haar niet misbruiken (Bismarck).

Afbeelding
Gebruikersavatar
Abraham54
PC Web Plus - Member
PC Web Plus - Member
Berichten: 103
Lid geworden op: 04 jan 2012 09:59
Kennisniveau: (3) Expert
OS: Windows 10 Prof x64
AV: Windows Defender
AM: Malwarebytes MBAM Free
FW: Windows Firewall
Contacteer:

#2

Abusievelijk had ik voor Test 1 een verkeerde link gebruikt, dit is nu gerepareerd.
Domheid is ook een gave God's, maar men mag haar niet misbruiken (Bismarck).

Afbeelding
Gebruikersavatar
Maxstar
Administrator
Administrator
Berichten: 42289
Lid geworden op: 27 sep 2008 10:18
Kennisniveau: (3) Expert
OS: Windows 10
AV: Emsisoft Anti-Malware
Contacteer:

#3

Naast de aanpassing in het register is het gebruik van een (goede) firewall ook aan te bevelen. Ook is het wel verstandig om voor de test even te waarschuwen, je weet immers niet welke informatie er door die tests worden bewaard. Zie ook de waarschuwing die Bleeping Computer daarvoor geeft. Mocht eruit de test naar voren komen dat er inlogggevens gelekt kunnen worden is het dus wel raadzaam preventief het gebruikte wachtwoord aan te passen.
Gebruikersavatar
Abraham54
PC Web Plus - Member
PC Web Plus - Member
Berichten: 103
Lid geworden op: 04 jan 2012 09:59
Kennisniveau: (3) Expert
OS: Windows 10 Prof x64
AV: Windows Defender
AM: Malwarebytes MBAM Free
FW: Windows Firewall
Contacteer:

#4

Waardevolle aanvulling inderdaad, dank.
Ik zal het origineel aanvullen!
Domheid is ook een gave God's, maar men mag haar niet misbruiken (Bismarck).

Afbeelding
Gebruikersavatar
Abraham54
PC Web Plus - Member
PC Web Plus - Member
Berichten: 103
Lid geworden op: 04 jan 2012 09:59
Kennisniveau: (3) Expert
OS: Windows 10 Prof x64
AV: Windows Defender
AM: Malwarebytes MBAM Free
FW: Windows Firewall
Contacteer:

#5

Aanvullingen verwerkt.
Domheid is ook een gave God's, maar men mag haar niet misbruiken (Bismarck).

Afbeelding
Plaats reactie

Terug naar “Beveiliging & Privacy”