{"id":192824,"date":"2017-08-05T15:31:28","date_gmt":"2017-08-05T13:31:28","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=192824"},"modified":"2022-03-26T19:51:53","modified_gmt":"2022-03-26T18:51:53","slug":"smb-lcke-smbloris-in-windows-bleibt-ungepatcht","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/08\/05\/smb-lcke-smbloris-in-windows-bleibt-ungepatcht\/","title":{"rendered":"SMB-Lücke SMBloris in Windows bleibt ungepatcht"},"content":{"rendered":"

[English<\/a>]Eine 20 Jahre alte Sicherheitsl\u00fccke in Windows erm\u00f6glicht Maschinen \u00fcber das SMB-Protokoll anzugreifen und lahm zu legen. Microsoft will diese Sicherheitsl\u00fccke nicht schlie\u00dfen. <\/p>\n

<\/p>\n

\"\"Die SMBloris getaufte Sicherheitsl\u00fccke wurde durch die Sicherheitsforscher Sean Dillon (Twitter: @zerosum0x0) und Jenna Magius (Twitter: @jennamagius) im Juni 2017 entdeckt. Inzwischen ist ein Proof of concept auf Github<\/a> ver\u00f6ffentlicht, welches einem Angreifer per Internet mittels des SMB-Protokolls die Aufnahme von Verbindungen ohne Authentifizierung erm\u00f6glicht. <\/p>\n

Bei jeder Verbindung wird RAM auf der Zielmaschine allokiert. \u00d6ffnet ein Angreifer tausende Verbindungen, kann er das Zielsystem, wegen Speichermangel, zum Einfrieren oder Abst\u00fcrzen bringen. Die Sicherheitsl\u00fccke l\u00e4sst sich bei allen SMB-Implementierungen von Windows (SMBv1, SMBv2, SMBv3) ausnutzen. Das gilt auch f\u00fcr alle Versionen, von Windows 2000 bis Windows 10. <\/p>\n

Voraussetzung f\u00fcr den Angriff ist aber, dass das Windows-Systems den Port Port 445 f\u00fcr Internetzugriffe freigibt (dann hilft auch kein Abschalten von SMB). Unter Linux k\u00f6nnen Admins die Option max smbd processes = 1000<\/em> in der Samba smb.conf config-Datei setzen. Dies verhindert, dass Angreifer eine beliebige Anzahl an SMB-Verbindungen gleichzeitig zum Samba Server \u00f6ffnen.<\/p>\n

Der Name SMBLoris resultiert aus der 2009 von Sicherheitsforschern bei Web-Servern entdeckten Slowloris-L\u00fccke<\/a>. Dort lie\u00dfen sich Web-Server \u00fcber eine Vielzahl an Verbindungen angreifen, bis die Bandbreite oder der Speicher belegt war. Es lie\u00dfen sich DDoS-Angriffe fahren. Bei SMBLoris werden die gleichen Mechanismen genutzt, wobei das SMB- anstelle des HTTP-Protokolls verwendet wird. <\/p>\n

Microsoft will diese L\u00fccke im Server Message Block (SMB) Protokoll von Windows nicht patchen. Ein Sprecher erkl\u00e4rte gegen\u00fcber Threatpost<\/a>: <\/p>\n

\n

\"The case offers no serious security implications and we do not plan to address it with a security update. For enterprise customers who may be concerned, we recommend they consider blocking access from the internet to SMBv1.\" <\/p>\n<\/blockquote>\n

Microsoft sieht also keine wirkliche Sicherheitsproblematik, da es ein Konfigurationsfehler ist, wenn Dateifreigaben per Internet \u00fcber das SMB verf\u00fcgbar ist. Unternehmen sollen schlicht die SMB-Zugriffe per Internet blockieren. <\/p>\n

Details lassen sich im Kaspersky Threatpost-Artike<\/a>, in diesem rapid7.com Community-Artikel<\/a> oder bei  Bleeping Computer<\/a> nachlesen. Der Angriff wurde auf der Def Con demonstriert (siehe folgendes Video).<\/p>\n

\n

#SMBloris<\/a> attack demonstration https:\/\/t.co\/kovLsEL4Ia<\/a><\/p>\n

\u2014 Frieder Morneweg (@MornewegF) 5. August 2017<\/a><\/p><\/blockquote>\n