Microsoft kommuniziert kritische Sicherheitslücke im SMBv3-Protokoll
von caschy | 8 Kommentare
Microsoft hat während der aktuellen Patch-Veröffentlichungen vermutlich erst versehentlich Details über eine neue Schwachstelle im Microsoft Server Message Block 3.1.1 (SMB)-Protokoll kommuniziert. Obwohl das Unternehmen keine technischen Details veröffentlichte, bot es offenbar kurze Zusammenfassungen an, die den Fehler beschreiben, die seitdem auf den Seiten verschiedener Sicherheitsanbieter – wie beispielsweise Fortinet – veröffentlicht wurden, die Teil des Active-Protection-Programms von Microsoft sind und vorab Zugang zu Fehlerinformationen erhalten.
Die Sicherheitslücke, die als CVE-2020-0796 getrackt wird, ist in den aktuellen Aktualisierungen nicht enthalten und es ist unklar, wann sie durch Microsoft gepatcht wird. Laut Fortinet wird der Fehler als „eine Pufferüberlaufschwachstelle in Microsoft SMB-Servern“ beschrieben und mit dem höchsten Schweregrad bewertet. „Die Schwachstelle ist auf einen Fehler zurückzuführen, wenn die anfällige Software ein in böswilliger Absicht erstelltes komprimiertes Datenpaket verarbeitet. Ein entfernter, nicht authentifizierter Angreifer kann dies ausnutzen, um beliebigen Code im Kontext der Anwendung auszuführen.“
(Update: Hier gibt es eine Seite von Microsoft mit allen Informationen, auch für Administratoren)
Betroffen sind laut Fortinet und Microsoft:
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, version 1909 (Server Core installation)
CVE-2020-0796 – a "wormable" SMBv3 vulnerability.
Great…
? pic.twitter.com/E3uPZkOyQN— MalwareHunterTeam (@malwrhunterteam) March 10, 2020
Wird geladen ...
Danke für den Hinweis.
In freier Wildbahn eher unwahrscheinlich, da Windows Server 2019 und älter nicht betroffen sind.
Deine Einschätzung ist komplett falsch. Wie schon in der Liste oben zu sehen ist die Lücke nicht auf Windows Server beschränkt. Caschy schreibt ja schon eingangs, dass das SMB3 Protokoll fehlerhaft ist.
Microsoft schreibt dazu: „An attacker who successfully exploited the vulnerability could gain the ability to execute code on the target SMB Server or SMB Client.“
Server UND Client sind betroffen. Und Server meint nicht den Windows Server, sondern einen SMB-Server, der in jedem Gerät stecken dürfte, das SMB3 spricht.
Wir können nur hoffen, dass der Fehler nicht in diverse Hardware eingezogen ist, die keine Updates vom Hersteller bekommt.
Kann ein normal User das SMB3 Protokoll deaktivieren?
Also ich mein, kann ich das an meinem PC selbst deaktivieren? Oder wird das benötigt?
Das mußt du wissen ob du es nutzt. Wird halt genutzt um Daten im Netzwerk Freizugeben und drauf zuzugreifen. Ältere NAS nutzen SMB1 die aber so langsam mal ausgetauscht werden sollte. Auch einige Kopiersysteme nutzen es noch. SMB3 Systeme können aber auch SMB2. Da nicht genauer gesagt wird warum es so ist etwas schwer zu sagen
Okay, danke. Aber das geht, ist ja schonmal gut zu Wissen.
Super. Danke für die Infos.
Mir fiel gerade auf…wie kann ich rausfinden ob mein PC das Protokoll aktiv benutzt? Hab da noch Verständnisprobleme.