Kritische Sicherheitslücke in Microsoft Windows XP/Server 2003 Dateifreigaben (SMB)

16. Februar 2011

Potentiell Remote Code Execution - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Auf der Security-Mailingliste Full Disclosure wurde ein Bug in der Microsoft Windows Dateifreigabe bekanntgegeben, und auch entsprechender Beispielcode dazu veröffentlicht.

Die Sicherheitsdienstleister Secunia und Vupen bestätigen diese Lücke.

Auswirkungen

Durch Ausnutzen dieses Fehlers kann ein Angreifer bereits durch blosses Senden entsprechend präparierter Pakete an Windows-Rechner mit aktivierter Dateifreigabe diese zum Absturz bringen und möglicherweise auch beliebigen Code ausführen. Eine erfolgreiche Anmeldung ist hierzu nicht erforderlich.

Systeme von Heim-Anwendern werden grossteils von diesem Problem nicht betroffen sein, da die per Default aktive Firewall Zugriffe von aussen auf Dateifreigaben unterbindet. Speziell gefährdet sind jedoch Fileserver in Firmennetzen, falls die Möglichkeit besteht, dass entsprechende Schadsoftware zum Beispiel via Notebook in das interne Netzwerk gebracht wird.

Da der Angreifer dadurch eventuell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.
Wir erwarten, dass entsprechende Schadsoftware bald in Umlauf gebracht werden wird.

Betroffene Systeme

Laut den bisher vorliegenden Informationen sind zumindest folgende Versionen von Microsoft Windows betroffen:
  • Windows XP SP3
  • Windows Server 2003 SP 2
Ob auch andere Versionen davon betroffen sind, ist noch nicht bekannt, wir können es jedoch nicht ausschliessen.

Abhilfe

Ein Patch seitens Microsoft steht noch nicht zur Verfügung, daher kann nur versucht werden, die Auswirkungen zu begrenzen, etwa indem betroffene Dateiserver wo möglich durch etwa Firewalls geschützt werden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Meldung bei Heise Security
http://www.heise.de/security/meldung/Neue-Luecke-in-Windows-Dateifreigaben-1190797.html
Blog-Eintrag von Microsoft
http://blogs.technet.com/b/michaelkranawetter/archive/2011/02/16/microsoft-untersucht-m-246-gliche-l-252-cke-in-windows-smb.aspx