Windows: Schadsoftware könnte sich über SMB-Lücke wurmartig verbreiten

  • Allgemein

  • mad.de
  • 743 Aufrufe 0 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Windows: Schadsoftware könnte sich über SMB-Lücke wurmartig verbreiten

    Derzeit wird die im SMB-Protokoll enthaltene Lücke CVE-2020-0796 noch nicht ausgenutzt. Auch fehlt bislang noch ein Exploit-Code. Dennoch sollte man Vorsichtsmaßnahmen ergreifen.

    Im Rahmen des monatlichen Patchdays hat Microsoft zahlreiche Sicherheitslücken geschlossen. Für die wurmfähige Schwachstelle CVE-2020-0796 im Microsoft Server Message Block (SMB)-Protokoll wurde jedoch kein Patch veröffentlicht. Dafür hat Microsoft aber einen Workaround veröffentlicht.

    Laut Fortinet wurde der Fehler als „eine Pufferüberlaufschwachstelle in Microsoft SMB-Servern“ beschrieben und mit dem höchsten Schweregrad bewertet. „Die Schwachstelle ist auf einen Fehler zurückzuführen, wenn die anfällige Software ein in böswilliger Absicht erstelltes komprimiertes Datenpaket verarbeitet“, so Fortinet. „Ein entfernter, nicht authentifizierter Angreifer kann dies ausnutzen, um beliebigen Code im Kontext der Anwendung auszuführen.

    Eine ähnliche Beschreibung wurde auch in einem Cisco-Talos-Blogbeitrag veröffentlicht. Dort heißt es: „Ein Angreifer könnte diesen Fehler ausnutzen, indem er ein speziell präpariertes Paket an den SMBv3-Zielserver sendet, mit dem das Opfer verbunden werden muss. Anwendern wird empfohlen, die SMBv3-Komprimierung zu deaktivieren und den TCP-Port 445 auf Firewalls und Client-Computern zu blockieren. Die Ausnutzung dieser Schwachstelle öffnet die Systeme für einen „wurmstichigen“ Angriff, was bedeutet, dass es leicht wäre, von Opfer zu Opfer zu wechseln.“

    Die Warnung vor einer wurmfähigen Schwachstelle im SMB-Protokoll sollte Systemadministratoren hellhörig werden lassen. Schließlich handelt es sich dabei um dasselbe Protokoll, das im Frühjahr und Sommer 2017 die Ursache für die Verbreitung von WannaCry– und NotPetya-Malware war.

    Es besteht jedoch derzeit keine Gefahr, da über den Fehler keine weiteren Details wie etwa ein Exploit-Code verfügbar sind. Darüber hinaus betrifft dieser neue SMB-Bug nur SMBv3, die neueste Version des Protokolls, die nur in neueren Windows-Versionen enthalten ist. Betroffen sind demnach nur Windows 10 1903, Windows 10 1909, Windows Server 1903 und Windows Server 1909.

    Laut des von Microsoft veröffentlichten Workaround sollten Administratoren die SMBv3-Komprimierung abschalten und den TCP-Port 445 auf Firewalls und Client-Computern blockieren. Die Kompression des SMBv3-Protokolls deaktiviert man mit folgender PowerShell-Anweisung:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

    Quelle: Windows: Schadsoftware könnte sich über SMB-Lücke wurmartig verbreiten | ZDNet.de