Die neuesten Versionen von Microsoft Windows 10 enthalten Sicherheitslücken in Bezug auf SMBv3-Server und -Client-RCE. Hier finden Sie vorübergehende Sicherheitsvorkehrungen
Die neuesten Editionen von Windows 10, nämlich v1903 und v1909, enthalten eine ausnutzbare Sicherheitslücke, mit der das SMB-Protokoll (Server Message Block) ausgenutzt werden kann. Die SMBv3-Server und -Clients können erfolgreich kompromittiert und zum Ausführen von beliebigem Code verwendet werden. Noch besorgniserregender ist die Tatsache, dass die Sicherheitslücke mit wenigen einfachen Methoden aus der Ferne ausgenutzt werden kann.
Microsoft hat eine neue Sicherheitslücke im Microsoft Server Message Block 3.1.1 (SMB) -Protokoll erkannt. Das Unternehmen scheint die Details während der Patch Tuesday-Updates dieser Woche versehentlich durchgesickert zu sein. Das Sicherheitslücke kann aus der Ferne ausgenutzt werden Code auf einem SMB-Server oder -Client ausführen. Im Wesentlichen handelt es sich hierbei um einen RCE-Fehler (Remote Code Execution).
Microsoft bestätigt Sicherheitslücke in SMBv3:
In einem gestern veröffentlichten Sicherheitshinweis erklärte Microsoft, dass die Sicherheitsanfälligkeit die Versionen 1903 und 1909 von Windows 10 und Windows Server betrifft. Das Unternehmen wies jedoch schnell darauf hin, dass der Fehler noch nicht ausgenutzt wurde. Im Übrigen hat das Unternehmen Berichten zufolge die Details zu der als CVE-2020-0796 gekennzeichneten Sicherheitslücke durchgesickert. Dabei hat das Unternehmen jedoch keine technischen Details veröffentlicht. Microsoft bot lediglich kurze Zusammenfassungen an, in denen der Fehler beschrieben wurde. Die Informationen wurden von mehreren Unternehmen für digitale Sicherheitsprodukte aufgegriffen, die Teil des Active Protections-Programms des Unternehmens sind und frühzeitig auf Fehlerinformationen zugreifen können.
Es ist wichtig zu beachten, dass für den SMBv3-Sicherheitsfehler noch kein Patch bereit ist. Es ist offensichtlich, dass Microsoft ursprünglich geplant hatte, einen Patch für diese Sicherheitsanfälligkeit zu veröffentlichen, dies jedoch nicht konnte, und dann Industriepartner und Anbieter nicht aktualisieren konnte. Dies führte zur Veröffentlichung der Sicherheitslücke, die in freier Wildbahn noch ausgenutzt werden kann.
Wie können Angreifer die Sicherheitsanfälligkeit in Bezug auf SMBv3 ausnutzen?
Während noch Details bekannt sind, sind Computersysteme betroffen, auf denen Windows 10 Version 1903, Windows Server v1903 (Server Core-Installation), Windows 10 v1909 und Windows Server v1909 (Server Core-Installation) ausgeführt werden. Es ist jedoch sehr wahrscheinlich, dass frühere Iterationen des Windows-Betriebssystems ebenfalls anfällig sind.
Microsoft erläuterte das grundlegende Konzept und den Typ der SMBv3-Sicherheitsanfälligkeit wie folgt: „Um die Sicherheitsanfälligkeit gegen einen SMB-Server auszunutzen, kann ein nicht authentifizierter Angreifer ein speziell gestaltetes Paket an einen Ziel-SMBv3-Server senden. Um die Sicherheitsanfälligkeit gegen einen SMB-Client auszunutzen, müsste ein nicht authentifizierter Angreifer einen böswilligen SMBv3-Server konfigurieren und einen Benutzer davon überzeugen, eine Verbindung zu ihm herzustellen. “
Während Details kaum bekannt sind, weisen Experten darauf hin, dass der SMBv3-Fehler es Angreifern aus der Ferne ermöglichen könnte, die vollständige Kontrolle über die anfälligen Systeme zu übernehmen. Darüber hinaus kann die Sicherheitslücke auch verschlimmert werden. Mit anderen Worten, Angreifer könnten Angriffe durch kompromittierte SMBv3-Server automatisieren und mehrere Computer angreifen.
Wie schütze ich Windows-Betriebssysteme und SMBv3-Server vor neuen Sicherheitslücken?
Microsoft hat möglicherweise das Vorhandensein einer Sicherheitslücke in SMBv3 bestätigt. Das Unternehmen hat jedoch keinen Patch zum Schutz derselben angeboten. Benutzer können die SMBv3-Komprimierung deaktivieren, um zu verhindern, dass Angreifer die Sicherheitsanfälligkeit gegen einen SMB-Server ausnutzen. Der einfache Befehl zum Ausführen in PowerShell lautet wie folgt:
Geben Sie den folgenden Befehl ein, um den vorübergehenden Schutz vor Sicherheitslücken in SMBv3 rückgängig zu machen:
Es ist wichtig zu beachten, dass die Methode nicht umfassend ist und lediglich einen Angreifer verzögert oder davon abhält. Microsoft empfiehlt, den TCP-Port "445" auf Firewalls und Client-Computern zu blockieren. „Dies kann dazu beitragen, Netzwerke vor Angriffen zu schützen, die außerhalb des Unternehmensbereichs stattfinden. Das Blockieren der betroffenen Ports am Unternehmensrand ist die beste Verteidigung, um internetbasierte Angriffe zu vermeiden “, riet Microsoft.