Patchday: Windows-Trojaner könnte sich durch SMB-Lücke wurmartig verbreiten

  • TIPP

  • mad.de
  • 911 Aufrufe 2 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Patchday: Windows-Trojaner könnte sich durch SMB-Lücke wurmartig verbreiten

    Aktuelle Windows-Versionen sind über eine kritische SMBv3-Sicherheitslücke attackierbar. Bislang gibt es aber noch keinen Patch.

    Am Patchday in diesem Monat kümmert sich Microsoft um insgesamt 117 Schwachstellen in Windows & Co. 25 Sicherheitslücken gelten als "kritisch". Nutzen Angreifer diese erfolgreich aus, könnten sie unter bestimmten Voraussetzungen Schadcode ausführen und die volle Kontrolle über Computer erlangen. Wer Software von Microsoft nutzt, sollte sicherstellen, dass Windows Update die aktuellen Patches bereits installiert hat.

    Ein wichtiger Patch fehlt
    Derzeit sorgt vor allem eine kritische Lücke (CVE-2020-0798) im SMBv3-Protokoll in Windows 10 und Windows Server (1903) für Schlagzeilen. Einer Sicherheitswarnung von Microsoft zufolge müssen Angreifer lediglich präparierte Pakete an verwundbare SMB-Server verschicken, um die Schwachstelle auszunutzen. Anschließen sollen sie in der Lage sein, eigenen Code ausführen zu können. Auch Clients sind gefährdet. Für eine erfolgreiche Attacke müsste ein Angreifer Opfer aber dazu bringen, sich mit einem vom Angreifer kontrollierten SMBv3-Server zu verbinden.

    Bislang gibt es noch keinen Patch für die Lücke. In der Warnmeldung beschreibt Microsoft einen Workaround, wie man zumindest SMB-Server absichern kann. Außerdem empfehlen sie, den TCP-Port 445 via Firewall zu blockieren.

    Wenn Angreifer erfolgreich an der Schwachstelle ansetzen, könnte sich ein Trojaner Berichten zufolge wurmartig verbreiten und weitere Computer befallen. Auf diese Art hat sich im Sommer 2017 unter anderem der Erpressungstrojaner WannaCry verbreitet. Microsoft versichert, dass sie zum jetzigen Zeitpunkt noch keine Angriffe beobachtet haben.

    Weitere kritische Lücken
    Noch mehr gefährliche Schwachstellen finden sich in Microsoft Media Foundation von Windows 10. Gelingt hier eine Attacke und ein Opfer öffnet ein manipuliertes Dokument, könnten Angreifer Programme installieren oder Accounts anlegen. Der Webbrowser Edge ist durch zehn kritische Lücken in ChakraCore Scripting Engine bedroht. Dabei kann es zu Fehlern bei der Speicherverarbeitung kommen. Am Ende könnten Angreifer die gleichen Nutzerrechte wie ein Opfer bekommen. Internet Explorer 11 ist für ähnliche Attacken anfällig.

    Als "wichtig" eingestufte Sicherheitsupdates hat Microsoft unter anderem für Office und Word veröffentlicht. Hier könnten Angreifer beispielsweise mittels manipulierten Word-Dokumenten, die Opfer öffnen, Aktionen mit den gleichen Nutzerrechten des Opfers ausführen.

    Eine Übersicht zu allen gepatchten Sicherheitslücken im März findet man in Microsofts Security Update Guide. Dort muss man aber schon richtig suchen, um weitere Infos zu finden. Beispielsweise im Blog von Cisco Talos sind weitere Informationen übersichtlicher aufbereitet.

    Quelle: Patchday: Windows-Trojaner könnte sich durch SMB-Lücke wurmartig verbreiten | heise online

    Update: 13.03.2020:

    Microsoft bringt Patch für kritische Lücke: Deshalb sollten Sie Windows sofort updaten

    Am Patchday sollte Microsoft eigentlich Sicherheitslücken schließen. Stattdessen wurden beim März-Patchday versehentlich Informationen über eine schwerwiegende Lücke bekannt gegeben, für die es noch gar keinen Patch gab. Nun hat Microsoft ein Update nachgeschoben, das die Lücke schließt - Nutzer sollten es möglichst zeitnah installieren.

    Etwas unüblich zum Patchday: Zusammen mit den monatlichen Sicherheitsupdates veröffentlichte Microsoft Informationen über eine kritische Sicherheitslücke in Windows rund um SMBv3 (CVE-2020-0796). Das geschah wohl versehentlich - denn zu dem Zeitpunkt war für die Lücke noch kein Patch verfügbar.

    Es handelt sich um eine Sicherheitslücke in SMBv3, die zum Beispiel durch einen Wurmangriff ausgenutzt werden könnte. Wer sich noch an WannaCry erinnert, weiß, wie böse sowas ausgehen kann. Auch das BSI warnt vor der Lücke. Nun hat Microsoft glücklicherweise schnell reagiert und unter dem Namen KB4551762 für die betroffenen Versionen Windows 10 1909 und 1903 ein Update veröffentlicht, das die Sicherheitslücke behebt. Nutzer der entsprechenden Versionen sollten das Update möglichst schnell installieren, um die Verwundbarkeit abzuwenden.

    ...

    Quelle: Microsoft bringt Patch für kritische Lücke: Deshalb sollten Sie Windows sofort updaten - CHIP

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von mad.de () aus folgendem Grund: Update: 13.03.2020

  • Installationsfehler, Abstürze, CPU-Last und mehr
    Windows 10 – Patch KB4551762: Erneute Probleme nach Update
    Der Patch KB4551762 für Windows 10 sollte eigentlich eine Sicherheitslücke im SMBv3-Netzwerkprotokoll schließen. Als „Extra“ kommen viele Probleme.

    Vergangene Woche hatte Microsoft den Windows-10-Patch KB4551762 ausgerollt. Das Update sollte eigentlich „nur“ eine Sicherheitslücke im Netzwerkprotokoll SMBv3 (Server Message Block Version 3.11) schließen. Cyberkriminelle konnten durch manipulierte Anfragen Kontrolle über Systeme in einem Netzwerk erlangen. Wir wissen nicht, welche Änderungen oder mögliche Inkompatibilitäten der Patch sonst noch mitbrachte, Nutzer berichten zumindest seit dem vergangenen Wochenende über schwerwiegende Probleme.

    Der Patch KB4551762 für Windows 10 installiert sich automatisch. Er ergänzt die Patchday-Updates vom 10. März. Die Fehlerhistorie fängt laut Windows Latest bereits bei der Installation an – nicht für alle Nutzer, doch mit wiederkehrenden Fehlermeldungen auf verschiedenen Systemen. So treten etwa die Fehler-Codes „0x800f0988“ und „0x800f0900“ auf. Auch unvollständige Update-Daten werden von Windows beklagt und können mit dem Code „0x80073712“ quittiert werden. Eine Bereinigung der Update-Daten führte den Nutzer zum Ausgangspunkt, nachdem das fehlgeschlagene Update entfernt wurde. Funktioniert das Update, können Reboot-Schleifen auftreten.

    Nutzerberichte zu Problemen mit dem Windows-10-Patch KB4551762 tauchen in den Microsoft-Forum, in sozialen Netzwerken und im Feedback Hub von Microsoft auf. Darunter sind auch Berichte über eine steigende CPU-Last unter virtuellen Maschinen oder allgemeine Windows-Performance-Einbrüche, denen unter anderem Bugs im Windows-Sicherheits-Center vorausgehen können.
    Es bleibt wie immer abzuwarten, wie flächendeckend die Schwierigkeiten mit dem Windows 10 Update auftreten. Unter den bekannten Problemen zum Patch KB4551762 listet Microsoft weiterhin nur einen Eintrag im Zusammenhang mit Windows-Server-Containern und 32-Bit-Anwendungen. Wir halten Sie weiter auf dem Laufenden.

    Wer den Patch KB4551762 installiert und keine Probleme beobachtet hat, muss in der Regel nicht tätig werden. Ansonsten können Sie das Update über die Einstellungen, den Punkt "Update und Sicherheit" und dann die Auswahl "Updateverlauf anzeigen" finden und entfernen.

    16.3.2020 von The-Khoa Nguyen


    Quelle: Windows 10 – Patch KB4551762: Erneute Probleme nach Update - PC Magazin

  • Jetzt patchen: Exploit-Code für ältere Windows-SMBv3-Lücke veröffentlicht

    Schon im März 2020 hat Microsoft ein Update für die Remote-Lücke CVE-2020-0796 alias SMBGhost veröffentlicht. Jetzt ist Proof-of-Concept-Code verfügbar.

    Mitte März dieses Jahres hat Microsoft außer der Reihe ein Sicherheitsupdate für die aus der Ferne ausnutzbare, auch als "SMBGhost" bekannte Sicherheitslücke CVE-2020-0796 veröffentlicht. Die Lücke betrifft die Windows 10- und Windows Server-Versionen 1903 und 1909. Nutzer, die das Update bislang nicht eingespielt haben, sollten dies jetzt unbedingt nachholen: Bei GitHub wurde – wenn auch noch verbesserungswürdiger – Proof-of-Concept-Code zum Ausnutzen der Sicherheitslücke veröffentlicht.

    Besonders gefährlich an der Lücke im SMBv3-Protokoll, über die heise online bereits im März berichtete, ist, dass durch die Möglichkeit der wurmartigen Ausbreitung ganze Netzwerke "in einem Rutsch" befallen werden könnten.

    Details sowohl zur Sicherheitslücke als auch zu verfügbaren Updates und Workarounds nennt Microsofts Advisory zu CVE-2020-0796. Demnach ist Remote Code Execution mittels der Lücke zum einen möglich, indem man ein speziell präpariertes Datenpaket an einen verwundbaren SMBv3-Server schickt. Des Weiteren sind auch verwundbare Clients angreifbar, nämlich indem man sie dazu bringt, sich mit einem von einem Angreifer speziell konfigurierten SMBv3-Server zu verbinden.

    Das erforderliche Update KB4551762 steht zum Download im Windows Update Catalog bereit. Bei aktiviertem Windows Update oder (je nach Konfiguration) WSUS wurde es allerdings längst auch automatisch ausgeliefert.

    PoC erfolgreich getestet
    Zwar ist der PoC-Code zu CVE-2020-0796 bei GitHub mit dem Hinweis versehen, dass er recht schnell zusammengeschrieben worden und noch nicht zuverlässig sei. Allerdings meldeten sich via Twitter mehrere Nutzer zu Wort, die berichteten, dass sie den Angriff reproduzieren konnten – auch wenn dem gelungenen Exploit mitunter zahlreiche Blue Screens of Death vorangingen. Dieses Verhalten des PoC-Codes hatte allerdings auch dessen Autor bereits angemerkt.

    Sicherheitsforscher Troy Mursch (Bad Packets Report) will laut einem Bericht von Ars Technica außerdem massenhafte Scans nach verwundbaren Servern beobachtet haben. Auch CERT-Bund wies via Twitter nochmals auf die Gefahr und den längst verfügbaren Patch hin.

    Quelle: Jetzt patchen: Exploit-Code für ältere Windows-SMBv3-Lücke veröffentlicht | heise online