{"id":187032,"date":"2017-02-03T08:39:14","date_gmt":"2017-02-03T07:39:14","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=187032"},"modified":"2022-03-30T06:50:04","modified_gmt":"2022-03-30T04:50:04","slug":"smb-zero-day-sicherheitslcke-in-windows","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/02\/03\/smb-zero-day-sicherheitslcke-in-windows\/","title":{"rendered":"SMB Zero-Day-Sicherheitsl&uuml;cke in Windows 8.1\/10\/Server"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/03\/winb.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>In diversen Windows-Versionen existiert eine Sicherheitsl\u00fccke im SMB (Server Message Block) Protokoll, die das System angreifbar macht. Nun ist ein Proof-of-Konzept samt Code f\u00fcr einen Zero-Day-Angriff ver\u00f6ffentlicht worden.<\/p>\n<p><!--more--><\/p>\n<h3>Informationen zum SMB-Bug<img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/30d51a0b8e004525820ead03e15ada88\" alt=\"\" width=\"1\" height=\"1\" \/><\/h3>\n<p>Das United States Computer Emergency Readiness Team (US-CERT) hat gestern ein offizielles <a href=\"http:\/\/www.kb.cert.org\/vuls\/id\/867968\" target=\"_blank\" rel=\"noopener noreferrer\">Advisory<\/a> dazu ver\u00f6ffentlicht.<\/p>\n<blockquote><p>Microsoft Windows contains a memory corruption bug in the handling of SMB traffic, which may allow a remote, unauthenticated attacker to cause a denial of service or potentially execute arbitrary code on a vulnerable system.<\/p>\n<p>Microsoft Windows fails to properly handle traffic from a malicious server. In particular, Windows fails to properly handle a server response that contains too many bytes following the structure defined in the <a href=\"https:\/\/msdn.microsoft.com\/en-us\/library\/cc246499.aspx\" target=\"_blank\" rel=\"noopener noreferrer\">SMB2 TREE_CONNECT<\/a> Response structure. By connecting to a malicious SMB server, a vulnerable Windows client system may crash (BSOD) in mrxsmb20.sys.<\/p><\/blockquote>\n<p>Also zu deutsch: In Windows gibt es einen Memory Corruption-Bug in der Behandlung der SMB-Daten die \u00fcber das Protokoll verschickt werden. Der Fehler steckt wohl in der Datei mrxsmb20.sys. Das US-CERT geht davon aus, dass ein Angreifer \u00fcber diesen Bug das System lahm legen oder sogar Schadcode einschleusen kann. Der Angreifer ben\u00f6tigt dabei aber Zugriff auf eine Netzwerkfreigabe, die \u00fcber das SMB-Protokoll angesprochen wird. Und der Exploit-Code zur Ausnutzung dieser Schwachstelle ist \u00f6ffentlich verf\u00fcgbar (siehe <a href=\"https:\/\/web.archive.org\/web\/20190621010250\/https:\/\/hothardware.com\/news\/zero-day-exploit-affecting-all-latest-windows-versions-causing-bsod\" target=\"_blank\" rel=\"noopener noreferrer\">auch<\/a>).<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"en\">\n<p dir=\"ltr\" lang=\"en\">SMBv3 0day, Windows 2012, 2016 affected, have fun :) Oh&amp;if you understand this poc, bitching SDLC is appropriate :)<a href=\"https:\/\/t.co\/xAsDOY54yl\">https:\/\/t.co\/xAsDOY54yl<\/a><\/p>\n<p>\u2014 Responder (@PythonResponder) <a href=\"https:\/\/twitter.com\/PythonResponder\/status\/826926681701113861\">February 1, 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<h3>Im einfachsten Fall kommt es zu einem BlueScreen<\/h3>\n<p>Im einfachsten Fall kommt es wegen des Speicherfehlers dann zu einem BlueScreen \u2013 aber es gibt Vermutungen, dass man auch Remote-Code im Kernel mit erh\u00f6hten Rechten ausf\u00fchren k\u00f6nne. Allerdings schreibt das US-CERT auch, dass man unsicher sei, wie praxisnah das Ganze ausgenutzt werden kann.<\/p>\n<p><img decoding=\"async\" title=\"BSOD\" src=\"https:\/\/web.archive.org\/web\/20191011140437\/https:\/\/v26.imgup.net\/BSOD-mrxsm37c3.jpg\" alt=\"BSOD\" \/><\/p>\n<h3>Welche Systeme sind betroffen?<\/h3>\n<p>Das US-CERT gibt an, dass der Fehler auch auf voll gepatchten Systemen mit Windows 8.1 und Windows 10 auftrete. Man schreibt aber auch, dass sowohl SMB-Freigaben auf Windows Servern als auf den Windows-Clients betroffen seien. Bei Bleeping Computer <a href=\"https:\/\/web.archive.org\/web\/20201111190302\/https:\/\/www.bleepingcomputer.com\/news\/security\/smb-zero-day-affects-several-windows-versions-including-windows-10\/\" target=\"_blank\" rel=\"noopener noreferrer\">gibt man<\/a> an, dass Windows 10, Windows 8.1, Windows Server 2012 und Windows Server 2016 betroffen seien (ist naheliegend, dass die Server-Pendants zu Windows 8.1\/10 bei diesen Informationen betroffen sind).<\/p>\n<p>Noch eine kleine Hintergrundinformation: Vom SMB-Protokoll gibt es zwischenzeitlich drei Varianten: SMBv1, SMBv2 und SMBv3. Microsoft <a href=\"https:\/\/blogs.technet.microsoft.com\/filecab\/2016\/09\/16\/stop-using-smb1\/\" target=\"_blank\" rel=\"noopener noreferrer\">empfiehlt hier<\/a>, SMBv1 zu deaktivieren und diese Protokollvariante aus Sicherheitsgr\u00fcnden nicht mehr zu verwenden. Pikant ist jetzt aber, dass die L\u00fccke wohl SMBv3 betrifft.<\/p>\n<h3>Bewertung und Workaround<\/h3>\n<p>Das US-CERT stuft den SMB-Bug mit dem Wert 10 von maximal 10 Stufen als \u00e4u\u00dferst kritisch bzw. gravierend ein. Bisher gibt es von Microsoft keinen Patch f\u00fcr den Bug \u2013 und ob auch Windows 7 sowie die Server Pendants betroffen sind, bleibt unklar.<\/p>\n<p>Als Workaround, um Zugriffe aus der Ferne auf Windows-Systeme mit einem Exploit zu verhindern, empfiehlt das US-CERT folgendes:<\/p>\n<blockquote><p>Consider blocking outbound SMB connections (TCP ports 139 and 445 along with UDP ports 137 and 138) from the local network to the WAN.<\/p><\/blockquote>\n<p>Man soll die TCP Ports 139 und 445 sowie die UDP Ports 137 und 138 f\u00fcr den \u00dcbergang vom lokalen Netzwerk auf ein Wide Area Network (WAN) blockieren (sollte eigentlich standardm\u00e4\u00dfig der Fall sein, nur wer die Ports ge\u00f6ffnet hat, muss handeln). Das betrifft aber wohl gro\u00dfe Unternehmen, wo Wide Area Networks (WANs) im Einsatz sind.<\/p>\n<p>Schaue ich mir die Geschichte f\u00fcr kleine private Netzwerke an, sollte eigentlich wenig Gefahr drohen. In einem LAN m\u00fcsste der Angreifer direkten Zugriff auf das Netzwerk haben. Bei WLAN w\u00e4re das theoretisch m\u00f6glich, wenn der Zugriff auf den Router ungesichert erfolgt. \u00dcblicherweise ist aber eine WLAN-Verbindung per WPA2 verschl\u00fcsselt. Und bei der Einbuchung in \u00f6ffentliche Hotspots sollte die Windows-Firewall die Erreichbarkeit von Freigaben auch blocken. So w\u00fcrde ich, falls ich nichts \u00fcbersehen habe, die Ausnutzbarkeit aktuell als gering ansehen. Aber vielleicht habt ihr ja andere Einsch\u00e4tzungen oder Hinweise, wenn ich etwas \u00fcbersehen habe.<\/p>\n<p>Nachtrag: Bei heise.de hat man einen <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Zero-Day-Luecke-in-SMB-Bibliothek-von-Windows-3616990.html\" target=\"_blank\" rel=\"noopener noreferrer\">erg\u00e4nzenden Beitrag<\/a> (mutma\u00dflich nach einem\u00a0Tipp) zum Thema ver\u00f6ffentlicht. Abschalten von SMB, wie bei heise.de empfohlen, d\u00fcrfte aber keine Option sein, wenn man Netzwerkfreigaben nutzt.<\/p>\n<p>BTW: Aus dem Microsoft Universum hat mich noch ein anonymer Tipp erreicht. \u00d6ffnet man die PowerShell mit Administratorrechten, lassen sich mit\u00a0<span class=\"entry-content\"><em>Get-SmbConnection<\/em> die genutzten SMB-Freigaben auflisten (<a href=\"https:\/\/technet.microsoft.com\/de-de\/library\/jj635713%28v=wps.630%29.aspx?f=255&amp;MSPPError=-2147217396\" target=\"_blank\" rel=\"noopener noreferrer\">siehe<\/a>).\u00a0<\/span><\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/wikis\/windows-10\/\">Windows 10 Wiki\/FAQ<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2015\/11\/29\/windows-10-fehler-netzwerkprotokoll-fehlt\/\">Windows 10-Fehler: Netzwerkprotokoll fehlt<\/a> \u2013 Teil 1<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/?p=172136\">Windows 10-Fehler: Netzwerkprotokoll fehlt<\/a> \u2013 Teil 2<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2016\/03\/01\/windows-10-fehler-netzwerkprotokoll-fehlt-teil-3\/\">Windows 10-Fehler: Netzwerkprotokoll fehlt<\/a> \u2013 Teil 3<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2015\/08\/29\/windows-10-heimnetzgruppe-troubleshooting-faq\/\">Windows 10: Heimnetzgruppe Troubleshooting-FAQ<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2015\/09\/21\/windows-10-netzwerk-zeigt-fehler-0x80070035\/\">Windows 10: Netzwerk zeigt Fehler 0x80070035<br \/>\nWindows 10: Anmeldung an FRITZ.NAS geht nicht mehr<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>In diversen Windows-Versionen existiert eine Sicherheitsl\u00fccke im SMB (Server Message Block) Protokoll, die das System angreifbar macht. Nun ist ein Proof-of-Konzept samt Code f\u00fcr einen Zero-Day-Angriff ver\u00f6ffentlicht worden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694,2557],"tags":[1782,5907,4325],"class_list":["post-187032","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","category-windows-server","tag-sicherheitslucke","tag-smb","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/187032","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=187032"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/187032\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=187032"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=187032"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=187032"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}