Neuer Windows SMB Zero-Day führt zu Denial-of-Service

Von Trend Micro

Das US-CERT (United States Computer Emergency Readiness Team) veröffentlichte ein Security Advisory, das einen Memory Corruption-Fehler beschreibt, der mehrere Windows-Betriebssysteme betrifft. Wird er von einem Angreifer ausgenützt, so kann dieser ferngesteuert, einen Denial-of-Service (DoS) auf einem angreifbaren System herbeiführen, sodass dieses abstürzt.

Der Zero-Day befindet sich im Handling des Server Message Block (SMB)-Verkehrs. Betroffen sind Windows 10, 8.1, Server 2012 und Server 2016. Das SMB-Protokoll ist ein Netzwerk File-Sharing Protokoll, das in erster Linie dafür genutzt wird, um gemeinsamen Zugriff auf Dateien, Drucker und serielle Ports sowie weitere Kommunikation zwischen Knoten in einem Netzwerk bereitzustellen.

Das US-CERT erklärt: „Microsoft Windows geht nicht korrekt um mit dem Verkehr von einem infizierten Server aus. Vor allem kann Windows eine Server-Antwort nicht korrekt handhaben, die zu viele Bytes umfasst, die der in SMB2 TREE_CONNECT Response definierten Struktur folgt.“

Das bedeutet, wenn ein angreifbares System Verbindung zu einem infizierten SMB-Server aufnimmt, kann es unter Umständen abstürzen und nicht mehr zugänglich sein. Das US-CERT zeigte auf, wie die Sicherheitslücke zu einem Denial-of-Service auf einem angreifbaren System führen kann.

Auch öffnet der Fehler das System einem Angreifer, der ferngesteuert beliebigen Code ausführen kann. Bislang ist noch kein Vorfall mit einen solchen Szenario bekannt. Der Sicherheitsforscher Laurent Gaffié (@PythonResponder) hat einen Machbarkeitsbeweis auf Twitter veröffentlicht.

Der Fehler wurde ursprünglich als höchstes Sicherheits-Level 10 eingestuft. Das bedeutet, dass die Lücke sogar von einem ungeschulten Angreifer einfach auszunutzen ist. Doch kurz danach ist die Einstufung auf 7,8 heruntergefahren worden. Um die Lücke auszunutzen, müsste ein Angreifer zu Social Engineering-Taktiken greifen, um einen Nutzer dazu zu bewegen, Verbindung zu einem bösartigen SMB-Server aufzunehmen. Dies wird üblicherweise über die Aufforderung, einen infizierten Link anzuklicken, erreicht. Das Ergebnis ist dann ein so genannter Blue Screen of Death (BSoD).

Das US-CERT erklärt zudem, dass derzeit keine bekannte Lösung für die Sicherheitslücke vorhanden ist. Das Team gibt jedoch Empfehlungen dazu, wie Sysadmins nach außen gerichtete SMB-Verbindungen vom lokalen Netzwerk zum WAN, vor allem über TCP Ports 139 und 445 sowie UDP Ports 137 und 138 blocken können. Dieser Workaround hindert Nutzer daran, Verbindung zu jeglichen webbasierten SMB-Servern aufzunehmen, und verringert damit schließlich die Möglichkeiten für einen Exploit. Das Team erklärt auch, dass Microsoft am nächsten Patch Tuesday (14. Februar) einen Patch für den Fehler bereitstellen wird.

Trend Micro Deep Security™ schützt Netzwerke über die Deep Packet Inspection (DPI) rule:

1008138-Microsoft Windows Stack Overflow Remote Code Execution Vulnerability

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*