Eine Schwachstelle in der Server Message Block 3.1.1 (SMBv3) Implementierung der verschiedener Microsoft Windows-10-Versionen kann von einem Angreifer ausgenutzt werden, das System zu kompromittieren. Microsoft stellt Patches zur Behebung dieser Schwachstelle bereit, die umgehend installiert werden sollten. Erste Code-Beispiele zum Ausnutzen der Schwachstelle sind im Umlauf.

Eine Schwachstelle in der Server Message Block 3.1.1 (SMBv3) Implementierung der verschiedener Microsoft Windows-10-Versionen kann von einem Angreifer ausgenutzt werden, das System zu kompromittieren. Microsoft stellt Patches zur Behebung dieser Schwachstelle bereit, die umgehend installiert werden sollten. Erste Code-Beispiele zum Ausnutzen der Schwachstelle sind im Umlauf.

Inhalt

• Zusammenfassung
• Betroffene Systeme
• Angriffsvoraussetzung
• Gefahrenpotential
• Beschreibung
• Workaround
• Gegenmaßnahmen
• Vulnerability ID
• Exploit Status
• Weitere Information zu diesem Thema

Zusammenfassung

• CVE-2020-0796:
  

  Betroffen:	SMBv3.1.1 auf Windows 10 SAC (Semi-Annual Channel) der Versionen 1903 und 1909 (32/64bit und ARM64), Windows Server SAC der Versionen 1903 und 1909
  Plattform:	Microsoft Windows 10
  Einfallstor:	SMB, Port 445/tcp
  Angriffsvoraussetzung:	Zugriff auf ein Netzwerk, über das SMB-Pakete an einen verwundbaren Server geschickt werden können, bzw. über das verwundbare Clients SMB-Pakete erhalten können (network)
  Angriffsvektorklasse:	remote
  Auswirkung:	Kompromittierung des beherbergenden Systems (system compromise)
  Typ:	Integer Overflow
  Gefahrenpotential:	sehr hoch
  Workaround:	teilweise
  Gegenmaßnahmen:	Installation eines Patches
  Vulnerability ID:	CVE-2020-0796

Betroffene Systeme

• Windows 10 Version 1903 für 32-bit Systeme
• Windows 10 Version 1903 für ARM64-basierte Systeme
• Windows 10 Version 1903 für x64-basierte Systeme
• Windows 10 Version 1909 für 32-bit Systeme
• Windows 10 Version 1909 für ARM64-basierte Systeme
• Windows 10 Version 1909 für x64-basierte Systeme
• Windows Server, version 1903 (Server Core Installation)
• Windows Server, version 1909 (Server Core Installation)

Angriffsvoraussetzung

• Für einen Angriff auf einen verwundbaren Server ist es erforderlich, dass der Angreifer ein entsprechend formuliertes SMB-Paket an den Server schicken kann. (network)
• Für einen Angriff auf einen SMB-Client ist Benutzerinteraktion erforderlich: der Angreifer muss einen Benutzer dazu bringen auf einen entsprechend präparierten SMB-Server zuzugreifen. (user interaction)

Gefahrenpotential

• sehr hoch

Beschreibung

Server Message Block ist das Netzwerkprotokoll, das Microsoft-Betriebssysteme verwenden, um Netzlaufwerke, Drucker und weitere Netzwerkdienste anzusprechen. Es ist damit eines der essentiellen Protokolle für das Active Directory.

Eine Schwachstelle in der Implementierung des SMB-Protokolls der Version 3.1.1 in den aktuellen Microsoft-Windows-10-Betriebssystemvarianten erlaubt es einem Angreifer, durch das Senden eines entsprechend formulierten SMB-Paketes beliebigen Programmcode auf einem verwundbaren Server auszuführen. Um einen verwundbaren SMB-Client zu kompromittieren, muss der Angreifer einen Benutzer des beherbergenden Systems dazu bringen, auf einen entsprechend präparierten Server per SMB zuzugreifen, etwa ein von diesem angebotenes Netzlaufwerk einzubinden oder einen Drucker zu installieren.

Die Perimeterfirewall der Universität Stuttgart schützt Systeme innerhalb der Netze der Uni vor direkten SMB-Zugriffsversuchen von außerhalb der Uni-Netze, da sie SMB-Verkehr über die Uni-Netzgrenzen hinweg blockiert. Sie kann jedoch nicht vor Zugriffen von innerhalb der Uni-Netze schützen. Infizierte Systeme innerhalb der Uni-Netze könnten diese Schwachstelle ausnutzen, sofern sie entsprechenden Exploit-Code verwenden. Aktuelle Malware, wie etwa Emotet oder andere Bots könnten solchen Code nachladen und verwundbare Systeme innerhalb der Uni-Netze angreifen. Aus diesem Grund wird die unverzügliche Installation der bereitgestellten Patches dringend empfohlen!

Workaround

Um zu verhindern, dass unauthentifizierte Angreifer die Schwachstelle ausnutzen können, kann die SMBv3-Kompression abgeschaltet werden. Dies kann durch folgende Power-Shell-Kommandosequenz erfolgen:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Die Kompression kann nach Installation der bereitgestellten Patches mit folgender Power-Shell-Kommandosequenz wieder abgeschaltet werden:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force

Gegenmaßnahmen

• Update für Windows 10 Version 1903 für 32-bit Systeme
• Update für Windows 10 Version 1903 für ARM64-basierte Systeme
• Update für Windows 10 Version 1903 für x64-basierte Systeme
• Update für Windows 10 Version 1909 für 32-bit Systeme
• Update für Windows 10 Version 1909 für ARM64-basierte Systeme
• Update für Windows 10 Version 1909 für x64-basierte Systeme
• Update für Windows Server, version 1903 (Server Core Installation)
• Update für Windows Server, version 1909 (Server Core Installation)

Vulnerability ID

• CVE-2020-0796

Weitere Information zu diesem Thema

• Microsoft Article 455176: March 12, 2020—KB4551762 (OS Builds 18362.720 and 18363.720)
• Exploit Code für SMBGhost veröffentlicht

Exploit Status

• Mittlerweile ist Exploit-Code für diese Schwachstelle öffentlich verfügbar.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/