Microsoft hat inzwischen den Patch KB4551762 für die SMB-Lücke veröffentlicht.
Er sollte so schnell wie möglich installiert werden.
Meldung vom 11.3.2020
Derzeit wird die im SMB-Protokoll enthaltene Lücke CVE-2020-0796 noch nicht ausgenutzt. Auch fehlt bislang noch ein Exploit-Code. Dennoch sollte man Vorsichtsmaßnahmen ergreifen.
Im Rahmen des monatlichen Patchdays hat Microsoft zahlreiche Sicherheitslücken geschlossen. Für die wurmfähige Schwachstelle CVE-2020-0796 im Microsoft Server Message Block (SMB)-Protokoll wurde jedoch kein Patch veröffentlicht. Dafür hat Microsoft aber einen Workaround veröffentlicht.
Laut Fortinet wurde der Fehler als „eine Pufferüberlaufschwachstelle in Microsoft SMB-Servern“ beschrieben und mit dem höchsten Schweregrad bewertet. „Die Schwachstelle ist auf einen Fehler zurückzuführen, wenn die anfällige Software ein in böswilliger Absicht erstelltes komprimiertes Datenpaket verarbeitet“, so Fortinet. „Ein entfernter, nicht authentifizierter Angreifer kann dies ausnutzen, um beliebigen Code im Kontext der Anwendung auszuführen.
Eine ähnliche Beschreibung wurde auch in einem Cisco-Talos-Blogbeitrag veröffentlicht. Dort heißt es: „Ein Angreifer könnte diesen Fehler ausnutzen, indem er ein speziell präpariertes Paket an den SMBv3-Zielserver sendet, mit dem das Opfer verbunden werden muss. Anwendern wird empfohlen, die SMBv3-Komprimierung zu deaktivieren und den TCP-Port 445 auf Firewalls und Client-Computern zu blockieren. Die Ausnutzung dieser Schwachstelle öffnet die Systeme für einen „wurmstichigen“ Angriff, was bedeutet, dass es leicht wäre, von Opfer zu Opfer zu wechseln.“
Die Warnung vor einer wurmfähigen Schwachstelle im SMB-Protokoll sollte Systemadministratoren hellhörig werden lassen. Schließlich handelt es sich dabei um dasselbe Protokoll, das im Frühjahr und Sommer 2017 die Ursache für die Verbreitung von WannaCry– und NotPetya-Malware war.
Es besteht jedoch derzeit keine Gefahr, da über den Fehler keine weiteren Details wie etwa ein Exploit-Code verfügbar sind. Darüber hinaus betrifft dieser neue SMB-Bug nur SMBv3, die neueste Version des Protokolls, die nur in neueren Windows-Versionen enthalten ist. Betroffen sind demnach nur Windows 10 1903, Windows 10 1909, Windows Server 1903 und Windows Server 1909.
Laut des von Microsoft veröffentlichten Workaround sollten Administratoren die SMBv3-Komprimierung abschalten und den TCP-Port 445 auf Firewalls und Client-Computern blockieren. Die Kompression des SMBv3-Protokolls deaktiviert man mit folgender PowerShell-Anweisung:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -ForceIn diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
