[English]Eine 20 Jahre alte Sicherheitslücke in Windows ermöglicht Maschinen über das SMB-Protokoll anzugreifen und lahm zu legen. Microsoft will diese Sicherheitslücke nicht schließen.
Anzeige
Die SMBloris getaufte Sicherheitslücke wurde durch die Sicherheitsforscher Sean Dillon (Twitter: @zerosum0x0) und Jenna Magius (Twitter: @jennamagius) im Juni 2017 entdeckt. Inzwischen ist ein Proof of concept auf Github veröffentlicht, welches einem Angreifer per Internet mittels des SMB-Protokolls die Aufnahme von Verbindungen ohne Authentifizierung ermöglicht.
Bei jeder Verbindung wird RAM auf der Zielmaschine allokiert. Öffnet ein Angreifer tausende Verbindungen, kann er das Zielsystem, wegen Speichermangel, zum Einfrieren oder Abstürzen bringen. Die Sicherheitslücke lässt sich bei allen SMB-Implementierungen von Windows (SMBv1, SMBv2, SMBv3) ausnutzen. Das gilt auch für alle Versionen, von Windows 2000 bis Windows 10.
Voraussetzung für den Angriff ist aber, dass das Windows-Systems den Port Port 445 für Internetzugriffe freigibt (dann hilft auch kein Abschalten von SMB). Unter Linux können Admins die Option max smbd processes = 1000 in der Samba smb.conf config-Datei setzen. Dies verhindert, dass Angreifer eine beliebige Anzahl an SMB-Verbindungen gleichzeitig zum Samba Server öffnen.
Der Name SMBLoris resultiert aus der 2009 von Sicherheitsforschern bei Web-Servern entdeckten Slowloris-Lücke. Dort ließen sich Web-Server über eine Vielzahl an Verbindungen angreifen, bis die Bandbreite oder der Speicher belegt war. Es ließen sich DDoS-Angriffe fahren. Bei SMBLoris werden die gleichen Mechanismen genutzt, wobei das SMB- anstelle des HTTP-Protokolls verwendet wird.
Anzeige
Microsoft will diese Lücke im Server Message Block (SMB) Protokoll von Windows nicht patchen. Ein Sprecher erklärte gegenüber Threatpost:
"The case offers no serious security implications and we do not plan to address it with a security update. For enterprise customers who may be concerned, we recommend they consider blocking access from the internet to SMBv1."
Microsoft sieht also keine wirkliche Sicherheitsproblematik, da es ein Konfigurationsfehler ist, wenn Dateifreigaben per Internet über das SMB verfügbar ist. Unternehmen sollen schlicht die SMB-Zugriffe per Internet blockieren.
Details lassen sich im Kaspersky Threatpost-Artike, in diesem rapid7.com Community-Artikel oder bei Bleeping Computer nachlesen. Der Angriff wurde auf der Def Con demonstriert (siehe folgendes Video).
#SMBloris attack demonstration https://t.co/kovLsEL4Ia
— Frieder Morneweg (@MornewegF) 5. August 2017
Anzeige
Genauso wie mit der "MFT"-Lücke. Die wurde ebenfalls noch nicht gebugfixt! (Jedenfalls unter Win 7 und Win 8).
https://www.der-windows-papst.de/2017/05/27/ntfs-mft-bug-legt-windows-7-und-windows-8-lahm/
auch nicht nötig, da smb janz einfach deaktiviert werden kann!