Scanner für Windows SMBv3-Schwachstelle CVE-2020-0796

Publiziert am 12. März 2020 von Günter Born

[English]Kleiner Hinweis für Administratoren in Firmennetzwerken, die prüfen möchten, ob Windows Server gegenüber der ungepatchten SMBv3-Schwachstelle CVE-2020-0796 anfällig sind. Es gibt ein Pyton-Script für diesen Zweck.

Anzeige

Die SMBv3-Schwachstelle (CVE-2020-0796)

Die in Windows benutzte Microsoft-Implementierung des SMBv3-Protokolls enthält eine EternalDarkness genannte Schwachstelle (CVE-2020-0796), die bei Verwendung der Kompression auftreten kann. Betroffen sind folgende Windows-Versionen:

  • Windows Server Version 1903 (Server Core Installation)
  • Windows Server Version 1909 (Server Core Installation)
  • Windows 10 Version 1903 for 32-bit Systems
  • Windows 10 Version 1903 for ARM64-based Systems
  • Windows 10 Version 1903 for x64-based Systems
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows 10 Version 1909 for x64-based Systems

Das Ganze betrifft die Implementierung von Microsoft Server Message Block 3.1.1 (SMBv3). Diese Schwachstelle ermöglicht einem Remote-Angreifer die Ausführung von beliebigem Code auf einem verwundbaren System, ohne dass eine Anmeldung erforderlich ist. Die Schwachstelle ist 'wormable', d.h. sie ermöglicht Malware die Ausbreitung über ein Netzwerk.

Ich hatte ja im Blog-Beitrag Windows SMBv3 0-day-Schwachstelle CVE-2020-0796 darüber berichtet. Im verlinkten Artikel sind auch Maßnahmen zur Absicherung der Schwachstelle aufgeführt. Das es für diesen Bug keinen Patch gibt, sind diese Workarounds, um die SMBv3-Kompression auf der Seite eines Windows Servers abzuschalten, auszuführen.

Prüfen, ob ein Server angreifbar ist

Administratoren stehen ggf. vor der Frage, wie sich überprüfen lässt, ob ein Server gegenüber der SMBv3-Schwachstelle angreifbar ist. Auf Twitter ist mir gestern dieser Tweet aufgefallen.

Anzeige

Der Sicherheitsforscher verweist auf diese GitHub-Seite, wo es einen einfachen SMBv3-Scanner SMBGhost gibt, mit dem ein Server auf die Unterstützung von Microsofts SMB 3.1.1 geprüft werden kann. Das Pyton-Script prüft auch, ob die Komprimierung eingeschaltet ist. So lässt sich testen, ob der oben erwähnte Workaround bis zur Verfügbarkeit eines Updates tatsächlich funktioniert. Weitere Details lassen sich der Readme entnehmen.

Ergänzung: Es gibt ein Sicherheitsupdate zum Schließen der Schwachstelle, siehe Windows 10: Patch für SMBv3-Schwachstelle CVE-2020-0796).

Ähnliche Artikel:
Microsoft empfiehlt SMBv1 bei Exchange zu deaktivieren
SMBv1-FAQ und Windows-Netzwerke
Samba 4.11 deaktiviert SMBv1 und unterstützt SMBv2
Windows 10: SMBv1-Klippen in Version 1803
Windows 10 V1803: SMBv1-Fix mit Update KB4284848
Windows SMBv3 0-day-Schwachstelle CVE-2020-0796

Anzeige
Dieser Beitrag wurde unter Sicherheit, Windows 10, Windows Server abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Scanner für Windows SMBv3-Schwachstelle CVE-2020-0796

  1. JohnRipper sagt:
    12. März 2020 um 00:54 Uhr

    Zeigt mal wieder, dass sich die Sicherheit von LAN und WAN Geräten nicht drastisch unterscheiden sollte…

    Antworten
  3. Anonymous sagt:
    12. März 2020 um 18:20 Uhr

    ggf in ~ 1std per WU

    https://support.microsoft.com/en-us/help/4551762/windows-10-update-kb4551762

    "Updates a Microsoft Server Message Block 3.1.1 protocol issue that provides shared access to files and printers."

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.