Microsoft hat inzwischen den Patch KB4551762 für die SMB-Lücke veröffentlicht.
Er sollte so schnell wie möglich installiert werden.
Meldung vom 11.3.2020
Derzeit wird die im SMB-Protokoll enthaltene Lücke CVE-2020-0796 noch nicht ausgenutzt. Auch fehlt bislang noch ein Exploit-Code. Dennoch sollte man Vorsichtsmaßnahmen ergreifen.
Im Rahmen des monatlichen Patchdays hat Microsoft zahlreiche Sicherheitslücken geschlossen. Für die wurmfähige Schwachstelle CVE-2020-0796 im Microsoft Server Message Block (SMB)-Protokoll wurde jedoch kein Patch veröffentlicht. Dafür hat Microsoft aber einen Workaround veröffentlicht.
Laut Fortinet wurde der Fehler als „eine Pufferüberlaufschwachstelle in Microsoft SMB-Servern“ beschrieben und mit dem höchsten Schweregrad bewertet. „Die Schwachstelle ist auf einen Fehler zurückzuführen, wenn die anfällige Software ein in böswilliger Absicht erstelltes komprimiertes Datenpaket verarbeitet“, so Fortinet. „Ein entfernter, nicht authentifizierter Angreifer kann dies ausnutzen, um beliebigen Code im Kontext der Anwendung auszuführen.
Eine ähnliche Beschreibung wurde auch in einem Cisco-Talos-Blogbeitrag veröffentlicht. Dort heißt es: „Ein Angreifer könnte diesen Fehler ausnutzen, indem er ein speziell präpariertes Paket an den SMBv3-Zielserver sendet, mit dem das Opfer verbunden werden muss. Anwendern wird empfohlen, die SMBv3-Komprimierung zu deaktivieren und den TCP-Port 445 auf Firewalls und Client-Computern zu blockieren. Die Ausnutzung dieser Schwachstelle öffnet die Systeme für einen „wurmstichigen“ Angriff, was bedeutet, dass es leicht wäre, von Opfer zu Opfer zu wechseln.“
Die Warnung vor einer wurmfähigen Schwachstelle im SMB-Protokoll sollte Systemadministratoren hellhörig werden lassen. Schließlich handelt es sich dabei um dasselbe Protokoll, das im Frühjahr und Sommer 2017 die Ursache für die Verbreitung von WannaCry– und NotPetya-Malware war.
Es besteht jedoch derzeit keine Gefahr, da über den Fehler keine weiteren Details wie etwa ein Exploit-Code verfügbar sind. Darüber hinaus betrifft dieser neue SMB-Bug nur SMBv3, die neueste Version des Protokolls, die nur in neueren Windows-Versionen enthalten ist. Betroffen sind demnach nur Windows 10 1903, Windows 10 1909, Windows Server 1903 und Windows Server 1909.
Laut des von Microsoft veröffentlichten Workaround sollten Administratoren die SMBv3-Komprimierung abschalten und den TCP-Port 445 auf Firewalls und Client-Computern blockieren. Die Kompression des SMBv3-Protokolls deaktiviert man mit folgender PowerShell-Anweisung:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…