Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1763

[Microsoft/Windows] Schwachstelle in Microsoft Windows Server Message Block (SMB)
(2020-03-13 17:12:44.592525+00)

Quelle: https://support.microsoft.com/de-de/help/4551762/windows-10-update-kb4551762

Eine Schwachstelle in der Server Message Block 3.1.1 (SMBv3) Implementierung der verschiedener Microsoft Windows-10-Versionen kann von einem Angreifer ausgenutzt werden, das System zu kompromittieren. Microsoft stellt Patches zur Behebung dieser Schwachstelle bereit, die umgehend installiert werden sollten. Erste Code-Beispiele zum Ausnutzen der Schwachstelle sind im Umlauf.

Eine Schwachstelle in der Server Message Block 3.1.1 (SMBv3) Implementierung der verschiedener Microsoft Windows-10-Versionen kann von einem Angreifer ausgenutzt werden, das System zu kompromittieren. Microsoft stellt Patches zur Behebung dieser Schwachstelle bereit, die umgehend installiert werden sollten. Erste Code-Beispiele zum Ausnutzen der Schwachstelle sind im Umlauf.

Inhalt

Zusammenfassung

Betroffene Systeme

Server Message Block 3.1.1 (SMBv3) auf den folgenden Betriebssystemen: Es ist jeweils sowohl der SMB-Server als auch der SMB-Client verwundbar!

Angriffsvoraussetzung

Gefahrenpotential


(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Server Message Block ist das Netzwerkprotokoll, das Microsoft-Betriebssysteme verwenden, um Netzlaufwerke, Drucker und weitere Netzwerkdienste anzusprechen. Es ist damit eines der essentiellen Protokolle für das Active Directory.

Eine Schwachstelle in der Implementierung des SMB-Protokolls der Version 3.1.1 in den aktuellen Microsoft-Windows-10-Betriebssystemvarianten erlaubt es einem Angreifer, durch das Senden eines entsprechend formulierten SMB-Paketes beliebigen Programmcode auf einem verwundbaren Server auszuführen. Um einen verwundbaren SMB-Client zu kompromittieren, muss der Angreifer einen Benutzer des beherbergenden Systems dazu bringen, auf einen entsprechend präparierten Server per SMB zuzugreifen, etwa ein von diesem angebotenes Netzlaufwerk einzubinden oder einen Drucker zu installieren.

Die Perimeterfirewall der Universität Stuttgart schützt Systeme innerhalb der Netze der Uni vor direkten SMB-Zugriffsversuchen von außerhalb der Uni-Netze, da sie SMB-Verkehr über die Uni-Netzgrenzen hinweg blockiert. Sie kann jedoch nicht vor Zugriffen von innerhalb der Uni-Netze schützen. Infizierte Systeme innerhalb der Uni-Netze könnten diese Schwachstelle ausnutzen, sofern sie entsprechenden Exploit-Code verwenden. Aktuelle Malware, wie etwa Emotet oder andere Bots könnten solchen Code nachladen und verwundbare Systeme innerhalb der Uni-Netze angreifen. Aus diesem Grund wird die unverzügliche Installation der bereitgestellten Patches dringend empfohlen!

Workaround

Um zu verhindern, dass unauthentifizierte Angreifer die Schwachstelle ausnutzen können, kann die SMBv3-Kompression abgeschaltet werden. Dies kann durch folgende Power-Shell-Kommandosequenz erfolgen:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
Achtung! Diese Maßnahme kann nicht verhindern, dass infizierte Systeme innerhalb der Uni-Netze die für sie vorgesehenen Server erfolgreich angreifen! Sie kann außerdem verwundbare SMB-Clients nicht schützen. Innerhalb der Netze der Universität Stuttgart ist sie daher nur von begrenztem Nutzen.

Die Kompression kann nach Installation der bereitgestellten Patches mit folgender Power-Shell-Kommandosequenz wieder abgeschaltet werden:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force

Gegenmaßnahmen

Installation bereitgestellter Updates:

Vulnerability ID

Weitere Information zu diesem Thema

Exploit Status

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1763