Zero-Day-Lücke in SMB-Bibliothek von Windows

Microsoft Windows kann sich an über das Netzwerkprotokoll Server Message Block (SMB) verschickten Datenverkehr verschlucken und abstürzen. Das kommt zum Einsatz, um sich etwa mit Netzwerkfreigaben zu verbinden. Im schlimmsten Fall könnten Angreifer sogar Schadcode auf Systeme schieben und mit Kernel-Rechten ausführen, warnt das renommierte CERT der Carnegie Mellon University (CMU). Der Schweregrad der Lücke ist mit dem höchsten CVSS Base Score 10 eingestuft.

Windows und Windows Server bedroht

Der Grund dafür ist dem Entdecker und Sicherheitsforscher mit dem Pseudonym PythonResponder zufolge eine Zero-Day-Lücke in der SMB-Bibliothek von Windows. Verschickt ein Server zu viele Bytes im Zuge der SMB2 TREE_CONNECT Response, quittiert Windows das mit einem Speicherfehler. Eine Proof-of-Concept-Demonstration ist bereits öffentlich verfügbar.

Von dem Sicherheitsproblem sollen Windows 8.1, 10 und Windows Server 2012, 2016 betroffen sein. Das CERT bestätigt zumindest, dass entsprechende Pakete in einem jeweils vollständig aktualisierten Windows 10 und 8.1 zu einem Absturz mit einem Black Screen of Death (BSOD) führte, der sich auf die Bibliothek mrxsmb20.sys zurückführen ließ.

Der Angriff kann von einem bösartigen Server übers Netz erfolgen, mit dem sich ein Windows-System verbinden will. Ein solcher Verbindungsversuch lässt sich etwa durch das Öffnen einer Ressource auf einem Netzwerk-Laufwerk auslösen. Der Angriff erfordert keine Anmeldung auf dem Server.

Noch kein Patch in Sicht

Microsoft hat bislang noch keine Stellung zu der Lücke bezogen; eine Antwort auf die Anfrage von heise Security steht noch aus. Wann mit einem Sicherheitsupdate zu rechnen ist, ist derzeit unklar. Um sich bis dahin abzusichern, empfiehlt das CERT, SMB zu deaktivieren oder zumindest die TCP-Ports 139 und 445 und die UDP-Ports 137 und 138 auf Firewalls zu blockieren.

Quelle: heise.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.