Aktuelles zur Windows SMBv3-Schwachstelle SMBGhost

[English]Kleine Aktualisierung zum Thema SMBGhost-Schwachstelle CVE-2020-0796 im SMBv3-Protokoll von Windows 10 Version 190x und Windows Server 2019. Microsoft hat zwar ein Update zum Schließen der Schwachstelle freigegeben. Dieses löst aber bei manchen Systemen Installationsfehler aus. Nach wie vor sind tausende Systeme anfällig gegen die Schwachstelle, die nun bereits angegriffen werden.


Anzeige

Patch für SMBv3-Schwachstelle CVE-2020-0796

Zum März 2020-Patchday (10.3.2020) wurde eine eine gravierende, aber ungepatchte Schwachstelle (CVE-2020-0796) im SMBv3-Protokoll von Windows öffentlich. Diese Schwachstelle könnte die Verbreitung von Würmern ermöglichen. Ich hatte ausführlich im Blog-Beitrag Windows SMBv3 0-day-Schwachstelle CVE-2020-0796 berichtet.

Zum 12. März 2020 hat Microsoft dann ein außerplanmäßiges Sicherheitsupdate KB4551762 für die SMBv3-Schwachstelle CVE-2020-0796 für folgende Windows-Versionen:

  • Windows Server Version 1903 (Server Core Installation)
  • Windows Server Version 1909 (Server Core Installation)
  • Windows 10 Version 1903 for 32-bit Systems
  • Windows 10 Version 1903 for ARM64-based Systems
  • Windows 10 Version 1903 for x64-based Systems
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows 10 Version 1909 for x64-based Systems

freigegeben (siehe auch den Beitrag Windows 10: Patch KB4551762 für SMBv3-Schwachstelle CVE-2020-0796).

Update KB4551762 verursacht Probleme

Das Problem ist, dass dieses Update bei einigen Nutzern Installationsfehler auslöst. Ich hatte im Blog-Beitrag Windows 10: Fehler 0x800f0988/0x800f0900 bei KB4551762 auf solche Probleme hingewiesen. Bleeping Computer hat weitere Fehler in diesem Artikel gesammelt.


Anzeige

Ergänzung: Bei Golem wird in diesem Artikel von einer Verlangsamung der Rechner durch die Updates KB4540673, KB4551762 und KB4535996 sowie erhöhtem RAM-Bedarf berichtet.

Blog-Leser EP weist in diesem Kommentar auf weitere Probleme beim Drucken, verursacht durch das Update, hin. Bei askwoody.com berichtet ein Nutzer zudem, dass seine HP-Drucker seit der Installation des Updates nicht mehr funktionieren. Auch im HP-Forum gibt es diesen Eintrag, der ähnliches berichtet:

HP Envy 7640 do not print after Windows Update KB4551762

On Win 10, HP Envy 7640 do not work since the windows update KB4551762 (no error, the spooler is ok, but the printer do not print).

When i uninstall the KB4551762, it's ok.

Lassen sich diese Fehler (Verlangsamung, Druckerprobleme) bestätigen? Es gibt also Nutzer, die Probleme mit der Update KB4551762-Installation haben. Das setzt das System aber Risiken aus.

48.000 Windows-Hosts per CVE-2020-0796 angreifbar

Nach einem internetweiten Scan entdeckten Forscher der Cybersicherheitsfirma Kryptos Logic etwa 48.000 Windows 10-Hosts, die anfällig für Angriffe sind, die auf die in Microsoft Server Message Block 3.1.1 (SMBv3) gefundene Sicherheitslücke CVE-2020-0796 (Pre-Auth Remote Code Execution) abzielen.

Bleeping Computer hat dies in diesem Artikel aufgegriffen. Inzwischen liegen auch erste Proof of Concept (PoC)-Beispiele vor, die die Schwachstelle ausnutzen. Auf GitHub finden sich sowohl PoC-Beispiele also auch Scanner, mit denen sich ein Netzwerk auf angreifbare Rechner scannen lässt.

Obigem Tweet entnehme ich, dass um die 300 Quellen momentan das Internet auf angreifbare Windows-Systeme mit der Schwachstelle VE-2020-0796 (SMBGhost) scannen.

Ähnliche Artikel:
Windows SMBv3 0-day-Schwachstelle CVE-2020-0796
Windows 10: Patch KB4551762 für SMBv3-Schwachstelle CVE-2020-0796
Windows 10: Fehler 0x800f0988/0x800f0900 bei KB4551762
Scanner für Windows SMBv3-Schwachstelle CVE-2020-0796


Anzeige

Dieser Beitrag wurde unter Netzwerk, Sicherheit, Windows 10, Windows Server abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu Aktuelles zur Windows SMBv3-Schwachstelle SMBGhost

  1. Quodlibeth sagt:

    Mein HP-Laserdrucker Laserjet 400 MFP M425 läuft auch mit dem KB4551762 problemlos über LAN (wireless habe ich nicht getestet).

  2. Thomas D sagt:

    Guten Morgen,

    Ich frage mich nur warum diese Ports aus dem Internet erreichbar sind.
    Firmen einmal ganz ausgenommen, aber welcher Router leitet diese Anfragen auf die Ports weiter?
    Denn das die nicht so abgesichert werden können wie andere ist logisch.
    (Es müssen mehr und mit weniger Wissen Leute diese benutzen. Also leichter einzustellen. Eine VPN Verbindung / VNC zu einem System übers Internet wiederum ist ausgelegt für Leute die wissen sollten was sie tun. Und wenn es umgehungen (umgebungen) wie TV oder AnyDesk sind auch. Da kann der Anbieter (MS) nur die Schultern zucken und sagen wenn ihr absichtlich Löcher reißt… :-) )

    Aber eine einfache Fritze oder sonstige Standard Router sollten dies nicht ohne Eingreifen geöffnet haben.

    Just my Senf

    • Karl Wester-Ebbinghaus (@tweet_alqamar) sagt:

      +1 siehe unten

    • oli sagt:

      Gibt auch Internet-Nutzer, die an einem einfachen Modem hängen. Da bekommt der Windows-PC einfach eine öffentliche IP-Adresse des Providers zugewiesen. Wenn der Nutzer dann eher unwissend ist und z.B. sein Netzwerkprofil auf "privat" gestellt hat, so ist u.a. eben auch der Netzwerkfreigabedienst in der Firewall freigegeben und der Rechner vom Internet aus angreifbar.

    • Gelbfuchs sagt:

      Bei 48000 Firmen ist der Admin halt der Sohn der Sekretärin.

      Bei uns gibt es nur verschlüsselte VPN-Tunnel und Hardware-Token mit Firmenzertifikaten.

  3. Karl Wester-Ebbinghaus (@tweet_alqamar) sagt:

    Gute Nachrichten,
    48.000 Hosts (Clients oder Server) die mit SMB ins Internet veröffentlicht sind, haben ein aktuelles Betriebssystem.

    Konkreter Anwendungsfall? Hätte ich gerne gewusst.

    • Gelbfuchs sagt:

      Ob der Patch installiert ist kann man doch mit einem Scan überhaupt nicht feststellen, da die Server-Antwort SMB v0x311 mit LZNT1 immer kommt unter 1903 und 1909.

      Habe das selbst vor und nach dem Patch an einem Heim-PC getestet.
      Der einzige Unterschied ist das es keine Abstürze und RCE mehr geben kann, was ja mit dem Patch erzielt werden sollte. Daher meinen Dank an Redmond.

  4. Holger sagt:

    Was ich bei der Berichterstattung nicht verstehe:

    Betroffene Server sind angeblich Windows Server Version 1903 (Server Core Installation) und Windows Server Version 1903(Server Core Installation).

    Warum nur bei Core Installation? Die Core-Installation ist doch meines Wissens nach nur eine Minimalversion ohne GUI. Warum sollte ein "normaler" Server mit GUI nicht betroffen sein?

  5. Triceratops sagt:

    Nach ablauf der 30 Tage Verzögerung, wurde mir nun dieses Update zwangsinstalliert (Ohne mein Zutun). Die probleme die andere bei diesem Update beschreiben, kann ich auf meinem System (Windows 10 Pro 1909) nicht bestätigen (Tritt bei mir nicht auf). Weis nicht ob das daran liegt, das meine APU noch der Pre-Ryzen ära angehört (Bulldozer Architektur / A8-6600K). Also in meinem fall keine Fehlermeldungen, Bluescreens oder verlangsamter PC.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.