+43 1 689 29 29-0

Sicherheitsan­fälligkeit ermöglicht es entfernten Angreifern, Denial-of-Service-Bedingungen auf mehreren Windows-Clientversionen auszulösen.

US-CERT und andere Organisationen warnten vor einem „Zero-Day-Speicher Korruption“ Fehler in mehreren Versionen von Microsoft Windows, die es einem Remote-Angreifer zu einem anfälligen System oder zum Absturz und Neustart führen könnte.

Der Nachweis des Konzeptcodes für die Ausnutzung der Sicherheitsan­fälligkeit wurde bereits veröffentlicht und ist nun für jedermann öffentlich zugänglich. Es gab keinen Patch für die Sicherheitslücke, die mehr Bedrohung für privat Haushalte und kleine Unternehmen als mittlere und große Unternehmen ist.

Der Fehler ist in der Art, wie bestimmte Windows-Versionen Server Message Block (SMB) verarbeiten, sagte Carnegie Mellon University CERT-Abteilung in einer Warnung. Durch das Senden einer speziell gestalteten Nachricht von einem bösartigen Server kann ein Angreifer einen Pufferüberlauf in einem anfälligen Windows-System auslösen und dazu führen, dass er abstürzt. Für Angreifer stehen mehrere Methoden zur Verfügung, um Zugang zu einem Windows-Clientsystem zu erhalten und um eine Verbindung zu einem bösartigen SMB-Server herzustellen. Manchmal mit wenig bis gar keiner Interaktion des Benutzers.

Das Microsoft-SMB-Dateifreigabe­protokoll ermöglicht es Windows-Clients, Dienste anzufordern und Dateien von Windows-Servern in einem Netzwerk zu lesen und zu schreiben. Dies war die Quelle mehrerer Sicherheitsprobleme im Laufe der Jahre.

Ein Microsoft-Sprecher spielte die Schwere des Problems herunter. „Windows ist die einzige Plattform mit einem Kunden Engagement, um gemeldete Sicherheitsprobleme zu untersuchen und proaktive betroffenen Geräte so schnell wie möglich zu aktualisieren“, sagte der Sprecher in einer Erklärung.

Johannes Ullirch, Leiter des Internet Storm Center am SANS Institute, sagte, er habe das Problem auf einem vollständig gepatchten Windows 10-System mit dem „Proof of Concept Code“ getestet und bekam sofort einen blauen Bildschirm „Blue Screen“. Alle Windows-Clients, die SMBv3, einschließlich Windows 2012 und 2016 unterstützen, sind anfällig für den Exploit, sagte er.

„Der Fehler ist ein Denial-of-Service-Fehler“, erklärte Ullrich Dark Reading. „Wenn ein System von dem Exploit getroffen wird, dann wird es neu starten.“ Der Fehler sieht nicht aus, als würde er Angreifern eine Möglichkeit zu geben, einen Code auszuführen oder irgendetwas zu tun, ohne eine Denial-of-Service-Bedingung auszulösen.

Die Ausnutzung der Anfälligkeit ist einfach, sagt Ullrich. Der Angreifer kann den Exploit verwenden, um einen SMBv3-Server zu implementieren und dann das Opfer in die Verbindung zu bringen. „Der einfachste Weg, dies zu erreichen, ist durch das Einfügen einer URL, die den Server mit einer Webseite verbindet“, sagt er.

Die URL kann wie \\ 192.0.2.1 \ ipc $ aussehen, wobei 192.0.2.1 die IP-Adresse des Servers ist. „Ein Image-Tag wie <img src =“ [böswillige url] „> wird den Exploit auslösen.“

Die Sicherheitsan­fälligkeit ist eine weitere Erinnerung, warum es notwendig ist, ausgehende SMB-Verbindungen zu sperren, indem die Ports 445, 135 und 139 blockiert werden, sagt Ullrich. „Viele Netzwerke schließen diese Ports nicht aus, was eine Reihe von Angriffsmöglichke­iten eröffnet, nicht nur diese.“

Heim- und Kleinunternehmen-Nutzer sind eher von dem Problem betroffen als mittlere und große Unternehmen, weil Firewalls von kleinen Unternehmen und private Heimfirewalls blockieren diese Verbindungen in der Regel nicht standardmäßig.

CERT meinte, dass es derzeit keine „praktische Lösung“ für das Problem erkenne und fordere Organisationen dazu auf, ausgehende SMB-Verbindungen vom lokalen Netzwerk zum WAN auf den TCP-Ports 139 und 445 zusammen mit den UDP-Ports 137 und 138 zu blockieren.