Windows SMBv3 0-day-Schwachstelle CVE-2020-0796

[English]In Windows gibt es eine gravierende, aber ungepatchte Schwachstelle im SMBv3-Protokoll. Diese könnte die Verbreitung von Würmern ermöglichen, wird aktuell aber wohl noch nicht ausgenutzt. Microsoft hat die Information gestern in einem Sicherheitshinweis gegeben.


Anzeige

Ich habe das Ganze bereits die Nacht per Mail von Microsoft in Form des Sicherheitshinweises ADV200005 erhalten:

Security Advisories Released or Updated on March 10, 2020
=============================================
* Microsoft Security Advisory ADV200005

ADV200005 | Microsoft Guidance for Disabling SMBv3 Compression
– Reason for Revision: Information published.
– Originally posted: March 10, 2020
– Updated: N/A
– Version 1.0

Die Schwachstelle wird auch als SMBGhost bezeichnet, weil sie wohl jeder bereits kennt, die Veröffentlichung aber ungeplant war.


Anzeige

Details zur Schwachstelle CVE-2020-0796

In der Microsoft-Implementierung des SMBv3-Protokolls gibt eine Schwachstelle (CVE-2020-0796) in der Handhabung der Kompression. Diese Schwachstelle ermöglicht einem Remote-Angreifer die Ausführung von beliebigem Code auf einem verwundbaren System, ohne dass eine Anmeldung erforderlich ist. Das ist das 'wormable' Szenario, welches Malware die Ausbreitung über ein Netzwerk ermöglicht. Diese wurde von Tenable gefunden und an Microsoft gemeldet. Tenable bezeichnet die Schwachstelle als EternalDarkness. Betroffen sind laut Tenable folgende Windows-Versionen:

  • Windows Server Version 1903 (Server Core Installation)
  • Windows Server Version 1909 (Server Core Installation)
  • Windows 10 Version 1903 for 32-bit Systems
  • Windows 10 Version 1903 for ARM64-based Systems
  • Windows 10 Version 1903 for x64-based Systems
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows 10 Version 1909 for x64-based Systems

Das Ganze betrifft die Implementierung von Microsoft Server Message Block 3.1.1 (SMBv3). Microsoft schreibt dazu, dass man sich der Schwachstelle bei der Remotecodeausführung bewusst sei. Die Schwachstelle besteht darin, wie das Microsoft Server Message Block 3.1.1 (SMBv3)-Protokoll bestimmte Anfragen behandelt. Ein Angreifer, der die Schwachstelle erfolgreich ausnutzt, könnte die Fähigkeit erlangen, Code auf dem SMB-Zielserver oder SMB-Client auszuführen.

Um die Schwachstelle gegen einen SMB-Server auszunutzen, müsste ein nicht authentifizierter Angreifer ein speziell präpariertes Paket an einen SMBv3-Zielserver senden. Um die Schwachstelle gegenüber einem SMB-Client auszunutzen, müsste ein nicht authentifizierter Angreifer einen bösartigen SMBv3-Server konfigurieren und einen Benutzer dazu bringen, eine Verbindung zu diesem zu erstellen.

Unklar ist mir die Aufteilung in SMBv3-Server und -Client, denn jede SMB-Freigabe führt dazu, dass ein Windows 10-Client als 'Server' für SMBv3-Anfragen fungiert. Hier hält sich Microsoft aber bedeckt.

Kein Update für die Schwachstelle verfügbar

Bisher steht von Microsoft noch kein Update zum Schließen der SMBv3-Schwachstelle zur Verfügung. Am gestrigen Patchday (10.3.2020) wurde das Problem jedenfalls nicht adressiert.

Ein Workaround

Von Microsoft wird aktuell in ADV200005 als Workaround nur das Abschalten der Kompression im SMBv3-Protokoll vorgeschlagen. Hierzu ist auf dem SMBv3-Server eine administrative Eingabeaufforderung zu öffnen und folgende PowerShell-Anweisung einzugeben:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Dieser Befehl erfordert keinen Neustart des Servers. Es sei aber angemerkt, dass dieser Workaround nicht die Ausnutzung der Schwachstelle auf SMBv3-Clients verhindert.

Um den Workaround später rückgängig zu machen, ist folgende PowerShell-Anweisung in einer administrativen Eingabeaufforderung einzugeben.

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force

Für Administratoren in Unternehmensumgebungen noch ein Tipp. In diesem Beitrag stellt jemand PowerShell-Scripte vor, um das Ganze auf mehreren Hosts zu deaktivieren.

An dieser Stelle noch einige Ergänzungen gegenüber dem Microsoft Advisory. Ich gehe davon aus, dass man den obigen PowerShell-Befehl auch auf Windows 10-Clients verwenden kann, um die SMBv3-Kompression temporär zu deaktivieren. Sobald ein Patch wieder verfügbar ist, sollte die die Komprimierung (aus Effizienzgründen) wieder zugelassen werden. In obigem PowerShell-Befehl wird der Workaround durch Setzen des Registry-Werts 0 wieder rückgängig gemacht. Hier verweise ich auf diese Diskussion bei heise, dass ein Löschen eventuell besser wäre.

Microsoft schlägt in in ADV200005 zudem vor, den TCP-Port 445 in der Firewall zu blockieren. Dieser Port wird verwendet, um eine Verbindung mit der betroffenen Komponente zu initiieren. Die Blockierung dieses Ports an der Firewall des Netzwerkperimeters (Übergang zwischen dem Unternehmensnetzwerk und dem Internet) trägt dazu bei, Systeme, die sich hinter dieser Firewall befinden, vor Versuchen zu schützen, diese Schwachstelle per Internet auszunutzen. Dies kann dazu beitragen, Netzwerke vor Angriffen zu schützen, die ihren Ursprung außerhalb des Unternehmensnetzwerks haben.

Das Blockieren der betroffenen Ports in der Firewall ist die beste Verteidigung, um internetbasierte Angriffe zu vermeiden. Allerdings könnten Systeme immer noch anfällig für Angriffe aus dem Unternehmensnetzwerk heraus sein. Ist ein Server oder ein Client über das Internet erreichbar, könnten Angreifer über diese Stelle dann auf das Unternehmensnetzwerk zugreifen.

Ergänzung:Es gibt ein Sicherheitsupdate zum Schließen der Schwachstelle, siehe Windows 10: Patch für SMBv3-Schwachstelle CVE-2020-0796).

Ähnliche Artikel:
Microsoft empfiehlt SMBv1 bei Exchange zu deaktivieren
SMBv1-FAQ und Windows-Netzwerke
Samba 4.11 deaktiviert SMBv1 und unterstützt SMBv2
Windows 10: SMBv1-Klippen in Version 1803
Windows 10 V1803: SMBv1-Fix mit Update KB4284848


Anzeige

Dieser Beitrag wurde unter Netzwerk, Sicherheit, Windows 10, Windows Server abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

23 Antworten zu Windows SMBv3 0-day-Schwachstelle CVE-2020-0796

  1. Andreas K. sagt:

    Wird hier Windows 7/Server 2008 nur nicht mehr aufgeführt (weil nicht mehr supportet) oder sind diese Versionen davon nicht betroffen? Ich weiß, SMB >3 = mind. Server 2012

    • Robert Richter sagt:

      AFAIK hat Windows Server 2008 und Vista SMBv2, Windows Server 2008 R2 und Windows 7 SMBv2.1, also haben diese kein SMBv3 Protokoll.
      SMBv3 kam mit Windows 8 und Server 2012 und SMBv3.0.2 mit 8.1 und 2012 R2. Ab Win 10 bzw. Server 2016 ist es SMBv3.1.1

    • Günter Born sagt:

      Neben der Antwort des Vorposters: Imho sind nicht aufgeführte Windows-Varianten nicht betroffen, weil.

      a) Windows 7/Server 2008/R2 weiter im ESU-Support sind
      b) Windows 8.1/Server 2012 R2 ja noch im Support sind

      Beide Zweige werden aber weder bei Microsoft noch bei Tenable erwähnt – ergo wird es da das Problem nicht geben. Mag mich aber täuschen.

  2. Anonymous sagt:

    Wie interpretiert Ihr

    Windows Server Version 1903 (Server Core Installation)
    Windows Server Version 1909 (Server Core Installation

    Sind damit alle Windows 2019 / 2016 Server in den Versionen 1903 / 1907
    in der Core Installationsvariante gemeint?

    Wie verhält es sich zum Beispiel mit Servern die nicht als Core sonder in der Desktopvariante installiert wurden oder z.B. die ältere LTSC Version des Windows 2016 Servers 1607 die noch im Support ist? Diese dürften ja dann nicht betroffen sein oder?

    • Klaus sagt:

      Hat ein wenig gedauert, bis ich selber drauf gekommen bin: Die Windows Server im Semi-Annual Channel gibt es nur in der Core-Variante. Daher gibt es auch keine betroffenen Server 1903 oder 1909 als Desktop-Variante.

  3. Bernhard Diener sagt:

    Bezüglich der betroffenen OS' herrscht Unklarheit.
    SMB Compression – wer kann das?
    Der SMB Dialect 3.1.1 wird von Win10 und Server 2016 aufwärts an gesprochen. Ich denke, die sind auch betroffen in jedem Release und eben nicht nur 1903 und höher.

  4. Johannes sagt:

    Was muss ein normaler benutzer mit nur einem Desktop unter Windows 10 Home 1909 tun?

  5. Horst sagt:

    Wenn ein Windows 10 Pro 1909 Client eine SMB Freigabe hat, müssen dann auch die vorgeschlagenen Einstellungen vorgenommen werden?

    • Günter Born sagt:

      Es müsste auch dort geändert werden, da der Windows 10-Client in diesem Fall ja als Server fungiert. Microsoft hat sich in seinem Advisory wieder bezüglich der obigen PowerShell-Anweisungen unklar ausgedrückt – die schreiben von Servern. Du kannst ja schauen, ob es auf einem Win 10-Client funktioniert.

  6. gpburth sagt:

    anstatt mich auf jedem Server separat anzumelden (oder ein Skript zu schreiben, das über alle Server iteriert…):
    das Setzen über GPO müsste doch eigentlich auch funktionieren, oder?
    Hat das schon jemand probiert?

  7. Robert sagt:

    Hallo Günter,

    ich lese deine Seite sehr gerne muss nun aber auch mal eine Frage stellen.

    Ich habe ein kleines Netz mit 3 Rechnern (Windows 10 Pro), 2 Druckern und einem NAS (Synology DS218+). Die Rechner haben alle Zugriff auf verschiedene Ordner des NAS und sehen sich auch gegenseitig im Netzwerk. Ein externer Zugriff ist nicht eingerichtet. Auf den Rechnern und auch dem NAS nicht.

    Muss ich hier nun aktiv werden?

    Eine Antwort wäre sehr nett.

    Danke.
    Robert

    • Günter Born sagt:

      Solange das Zeugs nicht per Internet erreichbar ist und Du Malware-frei bleibst, kannst Du auf einen Patch warten. Die obigen Aktionen richten sich eher an Firmen-Administratoren, die größere Netzwerke betreiben.

  8. pamkkkkk sagt:

    Lieber Günter,

    früher habe ich das Wort Server auch immer auf ein Komplettes system bezogen.
    Server standen in einem Raum waren gross und bestanden auch aus Serverhardware + Server Betriebsystem.

    Ein Server ist jedoch einfach nur ein Programm das Dienste (im Netzwerk) anbietet.

    Meine Erfahrung ist, wenn man auf dieser Ebene liest und denkt, passen viele Dokumentationen besser ins Gehirn.

  9. deoroller sagt:

    KB4551762 soll das Loch stopfen.
    https://support.microsoft.com/de-de/help/4551762/windows-10-update-kb4551762
    Es kam gerade übers Windows Update.
    https://abload.de/image.php?img=kb4551762l1jkz.jpg
    Den Herunterladen Button kriegt man bei getakteter Verbindung zu sehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.