Update: Kritische Lücke in Microsoft Windows ermöglicht DoS / Remote Code Execution via SMB - Updates nun verfügbar
3. Februar 2017
Update 15. März 2017
Wie das CERT der Carnegie Mellon University (CERT/CC) berichtet, gibt es aktuell eine
schwerwiegende Lücke in der SMB-Implementation von Microsoft Windows.
Informationsquelle(n):
Meldung des Carnegie Mellon Univerity CERT (englisch)
https://www.kb.cert.org/vuls/id/867968
Artikel bei Heise Security
https://www.heise.de/security/meldung/Zero-Day-Luecke-in-SMB-Bibliothek-von-Windows-3616990.html
Microsoft Security Bulletin MS17-010 (englisch)
https://technet.microsoft.com/library/security/MS17-010
Beschreibung
Im SMB-Code von Microsoft Windows wurde eine Schwachstelle entdeckt, die im harmlosesten Fall einen Absturz des Betriebsystems zur Folge haben kann, im schlimmsten Fall sogar Remote Code Execution erlaubt. Durch Senden spezieller übergrosser Pakete kann ein Angreifer mit Kontrolle über einen Windows-Fileserver verbundene Clients zum Absturz bringen oder sogar Schadcode einschleusen. Da es relativ einfach ist, Windows-Clients dazu zu bringen, sich zu externen Fileservern zu verbinden (etwa durch Einbetten entsprechender Links in Spam-Mails oder auf Webseiten), ist zu erwarten dass sich Angreifer bald auf diese Lücke konzentrieren werden - Proof-of-concept - Code ist bereits öffentlich verfügbar.CVSS Base Score (laut CERT/CC): 10.0
Auswirkungen
Über diesen Fehler kann potentiell beliebiger Code auf dem betroffenen Systemen ausgeführt werden. Es sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.Betroffene Systeme
CERT/CC konnte das Problem auf folgenden Versionen von Windows nachvollziehen:- Microsoft Windows 8.1
- Microsoft Windows 10
Abhilfe
Es stehen noch keine Updates zur Verfügung.
Update: 15. März 2017
Microsoft hat nun einen Patch für dieses Problem veröffentlicht, siehe Microsoft Security Bulletin MS17-010: "Security Update for Microsoft Windows SMB Server (4013389)".
Microsoft hat nun einen Patch für dieses Problem veröffentlicht, siehe Microsoft Security Bulletin MS17-010: "Security Update for Microsoft Windows SMB Server (4013389)".
Wir empfehlen, SMB-Verbindungen ins Internet auf Firewalls etc. zu blockieren (zumindest Ports 137-139 und 445, sicherheitshalber für TCP und UDP). Sollten solche Verbindungen bewusst genutzt werden, raten wir dies nur über VPN-Lösungen und ähnliches zuzulassen.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, für alle Arten von Browser-Plugins (Flash, Java, ...) auf die "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen, sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
Meldung des Carnegie Mellon Univerity CERT (englisch)
https://www.kb.cert.org/vuls/id/867968
Artikel bei Heise Security
https://www.heise.de/security/meldung/Zero-Day-Luecke-in-SMB-Bibliothek-von-Windows-3616990.html
Microsoft Security Bulletin MS17-010 (englisch)
https://technet.microsoft.com/library/security/MS17-010