In diversen Windows-Versionen existiert eine Sicherheitslücke im SMB (Server Message Block) Protokoll, die das System angreifbar macht. Nun ist ein Proof-of-Konzept samt Code für einen Zero-Day-Angriff veröffentlicht worden.
Informationen zum SMB-Bug
Das United States Computer Emergency Readiness Team (US-CERT) hat gestern ein offizielles Advisory dazu veröffentlicht.
Microsoft Windows contains a memory corruption bug in the handling of SMB traffic, which may allow a remote, unauthenticated attacker to cause a denial of service or potentially execute arbitrary code on a vulnerable system.
Microsoft Windows fails to properly handle traffic from a malicious server. In particular, Windows fails to properly handle a server response that contains too many bytes following the structure defined in the SMB2 TREE_CONNECT Response structure. By connecting to a malicious SMB server, a vulnerable Windows client system may crash (BSOD) in mrxsmb20.sys.
Also zu deutsch: In Windows gibt es einen Memory Corruption-Bug in der Behandlung der SMB-Daten die über das Protokoll verschickt werden. Der Fehler steckt wohl in der Datei mrxsmb20.sys. Das US-CERT geht davon aus, dass ein Angreifer über diesen Bug das System lahm legen oder sogar Schadcode einschleusen kann. Der Angreifer benötigt dabei aber Zugriff auf eine Netzwerkfreigabe, die über das SMB-Protokoll angesprochen wird. Und der Exploit-Code zur Ausnutzung dieser Schwachstelle ist öffentlich verfügbar (siehe auch).
SMBv3 0day, Windows 2012, 2016 affected, have fun :) Oh&if you understand this poc, bitching SDLC is appropriate :)https://t.co/xAsDOY54yl
— Responder (@PythonResponder) February 1, 2017
Im einfachsten Fall kommt es zu einem BlueScreen
Im einfachsten Fall kommt es wegen des Speicherfehlers dann zu einem BlueScreen – aber es gibt Vermutungen, dass man auch Remote-Code im Kernel mit erhöhten Rechten ausführen könne. Allerdings schreibt das US-CERT auch, dass man unsicher sei, wie praxisnah das Ganze ausgenutzt werden kann.
Welche Systeme sind betroffen?
Das US-CERT gibt an, dass der Fehler auch auf voll gepatchten Systemen mit Windows 8.1 und Windows 10 auftrete. Man schreibt aber auch, dass sowohl SMB-Freigaben auf Windows Servern als auf den Windows-Clients betroffen seien. Bei Bleeping Computer gibt man an, dass Windows 10, Windows 8.1, Windows Server 2012 und Windows Server 2016 betroffen seien (ist naheliegend, dass die Server-Pendants zu Windows 8.1/10 bei diesen Informationen betroffen sind).
Noch eine kleine Hintergrundinformation: Vom SMB-Protokoll gibt es zwischenzeitlich drei Varianten: SMBv1, SMBv2 und SMBv3. Microsoft empfiehlt hier, SMBv1 zu deaktivieren und diese Protokollvariante aus Sicherheitsgründen nicht mehr zu verwenden. Pikant ist jetzt aber, dass die Lücke wohl SMBv3 betrifft.
Bewertung und Workaround
Das US-CERT stuft den SMB-Bug mit dem Wert 10 von maximal 10 Stufen als äußerst kritisch bzw. gravierend ein. Bisher gibt es von Microsoft keinen Patch für den Bug – und ob auch Windows 7 sowie die Server Pendants betroffen sind, bleibt unklar.
Als Workaround, um Zugriffe aus der Ferne auf Windows-Systeme mit einem Exploit zu verhindern, empfiehlt das US-CERT folgendes:
Consider blocking outbound SMB connections (TCP ports 139 and 445 along with UDP ports 137 and 138) from the local network to the WAN.
Man soll die TCP Ports 139 und 445 sowie die UDP Ports 137 und 138 für den Übergang vom lokalen Netzwerk auf ein Wide Area Network (WAN) blockieren (sollte eigentlich standardmäßig der Fall sein, nur wer die Ports geöffnet hat, muss handeln). Das betrifft aber wohl große Unternehmen, wo Wide Area Networks (WANs) im Einsatz sind.
Schaue ich mir die Geschichte für kleine private Netzwerke an, sollte eigentlich wenig Gefahr drohen. In einem LAN müsste der Angreifer direkten Zugriff auf das Netzwerk haben. Bei WLAN wäre das theoretisch möglich, wenn der Zugriff auf den Router ungesichert erfolgt. Üblicherweise ist aber eine WLAN-Verbindung per WPA2 verschlüsselt. Und bei der Einbuchung in öffentliche Hotspots sollte die Windows-Firewall die Erreichbarkeit von Freigaben auch blocken. So würde ich, falls ich nichts übersehen habe, die Ausnutzbarkeit aktuell als gering ansehen. Aber vielleicht habt ihr ja andere Einschätzungen oder Hinweise, wenn ich etwas übersehen habe.
Nachtrag: Bei heise.de hat man einen ergänzenden Beitrag (mutmaßlich nach einem Tipp) zum Thema veröffentlicht. Abschalten von SMB, wie bei heise.de empfohlen, dürfte aber keine Option sein, wenn man Netzwerkfreigaben nutzt.
BTW: Aus dem Microsoft Universum hat mich noch ein anonymer Tipp erreicht. Öffnet man die PowerShell mit Administratorrechten, lassen sich mit Get-SmbConnection die genutzten SMB-Freigaben auflisten (siehe).
Ähnliche Artikel:
Windows 10 Wiki/FAQ
Windows 10-Fehler: Netzwerkprotokoll fehlt – Teil 1
Windows 10-Fehler: Netzwerkprotokoll fehlt – Teil 2
Windows 10-Fehler: Netzwerkprotokoll fehlt – Teil 3
Windows 10: Heimnetzgruppe Troubleshooting-FAQ
Windows 10: Netzwerk zeigt Fehler 0x80070035
Windows 10: Anmeldung an FRITZ.NAS geht nicht mehr
Die Ports 137-139 & 445 per Firewallregel für IP Zugriffe außerhalb des Heimnetzes zu blocken ist generell eine sinnvolle Idee. Zumindest dann wenn von Außen kein direkter Zugriff auf das Netzwerk besteht. Genau da gibt es aber vielleicht ein Problem…
Da sind die Fernwartungsfunktionen, die z.B. bei der Telekom Vertragsbestandteil sind wenn ein Router gemietet wird. Neben der Telekom haben auch weitere Anbieter ein Bein in den Heimnetzwerken und sei es nur um WLan – Zugänge der eigenen Kunden vermarkten zu können.
Kürzlich fielen zahlreiche Router einem Angriff zum Opfer, wurde hier auch thematisiert, und es kam bei der Telekom zu massiven Störungen. Was ist wenn es wieder zu einem solchen Angriff kommt und dieser Erfolg hat? Die Router liegen meist im selben Netzwerksegment wie die angeschlossenen Windows-PC’s, das Botnetz dürfte, da der Angriff auf die PC dann aus dem eigenen privaten Netzsegment kommt, riesig werden…
Mh Ich habe Zuhause ein kleines privates Netzwerk (4 PC´s) mit SMB Zugriff auch von Außerhalb. Danke für die interessante Info zu dieser Sicherheitslücke.
Da werde ich mir mal meine Konfiguration mal ansehen ob da Handlungsbedarf besteht.
Ich nehme an, dass dies nun hiermit geschlossen wurde:
https://technet.microsoft.com/library/security/MS17-010
Würde ich zustimmen.