Sie sind hier: Home » Meldungen » Meldung
Meldung Nr: RUS-CERT-1763

[Microsoft/Windows] Schwachstelle in Microsoft Windows Server Message Block (SMB)
(2020-03-13 17:12:44.592525+00) Druckversion

Quelle: https://support.microsoft.com/de-de/help/4551762/windows-10-update-kb4551762

Eine Schwachstelle in den Routinen für den Server Message Block 3.1.1 (SMBv3) der aktuellen Microsoft Windows-10-Versionen kann von einen Angreifer durch das Senden eines entsprechend formulierten SMB-Paketes an ein verwundbares System dazu ausgenutzt werden, das System zu kompromittieren. Microsoft stellt Patches zur Behebung dieser Schwachstelle bereit, die umgehend installiert werden sollten.

Inhalt

Zusammenfassung

  • CVE-2020-0796:
    Betroffen: SMBv3 auf Windows 10 SAC (Semi-Annual Channel) der Versionen 1903 und 1909 (32/64bit und ARM64), Windows Server SAC der Versionen 1903 und 1909
    Plattform: Microsoft Windows 10
    Einfallstor: SMB, Port 445/tcp
    Angriffsvoraussetzung:Zugriff auf ein Netzwerk,über das SMB-Pakete an einen verwundbaren Server geschickt werden können, bzw. über das verwundbare Clients SMB-Pakete erhalten können (network)
    Angriffsvektorklasse: remote
    Auswirkung: Kompromittierung des beherbergenden Systems (system compromise)
    Typ: unbekannt
    Gefahrenpotential: sehr hoch
    Workaround: teilweise
    Gegenmaßnahmen: Installation eines Patches
    Vulnerability ID: CVE-2020-0796

Betroffene Systeme

Server Message Block 3.1.1 (SMBv3) auf den folgenden Betriebssystemen:
  • Windows 10 Version 1903 für 32-bit Systeme
  • Windows 10 Version 1903 für ARM64-basierte Systeme
  • Windows 10 Version 1903 für x64-basierte Systeme
  • Windows 10 Version 1909 für 32-bit Systeme
  • Windows 10 Version 1909 für ARM64-basierte Systeme
  • Windows 10 Version 1909 für x64-basierte Systeme
  • Windows Server, version 1903 (Server Core Installation)
  • Windows Server, version 1909 (Server Core Installation)
Es ist jeweils der SMB-Server als auch der SMB-Client verwundbar!

Angriffsvoraussetzung

  • Für einen Angriff auf einen verwundbaren Server ist es erforderlich, dass der Angreifer ein entsprechend formuliertes SMB-Paket an den Server schicken kann.
    (network)
  • Für einen Angriff auf einen SMB-Client ist Benutzerinteraktion erforderlich: der Angreifer muss einen Benutzer dazu bringen auf einen entsprechend präparierten SMB-Server zuzugreifen (user interaction)

Gefahrenpotential

  • sehr hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Server Message Block ist das Netzwerkprotokoll, das Microsoft-Betriebssysteme verwenden, um Netzlaufwerke, Drucker und weitere Netzwerkdienste anzusprechen. Es ist damit eines der essentiellen Protokolle für das Active Directory.

Eine Schwachstelle in der Implementierung des SMB-Protokolls der Version 3.1.1 in den aktuellen Microsoft-Windows-10-Betriebssystemvarianten, erlaubt es einem Angreifer, durch das Senden eines entsprechend formulierten SMB-Pakeses beliebigen Programmcode auf einem verwundbaren Server auszuführen. Um einen verwundbaren SMB-Client zu kompromittieren, muss der Angreifer einen Benutzer des beherbergenden Systems dazu bringen, auf einen entsprechend präparierten Server per SMB zuzugreifen, etwa ein von diesem angebotenes Netzlaufwerk einzubinden oder einen Drucker zu installieren.

Die Perimeterfirewall der Universität Stuttgart schützt Systeme innerhalb der Netze der Uni vor direkten SMB-Zugriffsversuchen von außerhalb der Uni-Netze, da sie SMB-Verkehr über die Uni-Netzgrenzen hinweg blockiert. Sie kann jedoch nicht vor Zugriffen von innerhalb der Uni-Netze schützen. Infizierte Systeme innerhalb der Uni-Netze könnten diese Schwachstelle ausnutzen, sofern sie entsprechenden Exploit-Code verwenden. Aktuelle Malware, wie etwa Emotet oder andere Bots könnten solchen Code nachladen und verwundbare Systeme innerhalb der Uni-Netze angreifen. Aus diesem Grund wird die unverzügliche Installation der bereitgestellten Patches dringend empfohlen!

Workaround

Um zu verhindern, dass unauthentifizierte Angreifer die Schwachstelle ausnutzen können, kann man die SMBv3-Kompression abgeschaltet werden. Dies kann durch folgende Power-Shell-Kommandosequenz erfolgen:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
Achtung! Diese Maßnahme kann nicht verhindern, dass infizierte Systeme innerhalb der Uni-Netze die für sie vorgesehenen Server erfolgreich angreifen! Sie kann außerdem verwundbare SMB-Clients nicht schützen. Innerhalb der Netze der Universität Stuttgart ist sie daher nur von begrenztem Nutzen.

Die Kompression kann nach Installation der bereitgestellten Patches mit folgender Power-Shell-Kommandosequenz wieder abgeschaltet werden:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force

Gegenmaßnahmen

Installation bereitgestellter Updates:

Vulnerability ID

Weitere Information zu diesem Thema

Exploit Status

  • Bislang ist lediglich die prizipielle Ausutzbarkeit der Schwachstelle, jedoch kein in Malware einsetzbarer Code zur Ausnutzung bekannt.
    (proof of concept)
(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2020 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.