{"id":229316,"date":"2020-03-11T09:53:51","date_gmt":"2020-03-11T08:53:51","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=229316"},"modified":"2022-01-24T17:43:41","modified_gmt":"2022-01-24T16:43:41","slug":"windows-smbv3-0-day-schwachstelle-cve-2020-0796","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/03\/11\/windows-smbv3-0-day-schwachstelle-cve-2020-0796\/","title":{"rendered":"Windows SMBv3 0-day-Schwachstelle CVE-2020-0796"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/03\/winb.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/03\/11\/windows-smbv3-0-day-vulnerability-cve-2020-0796\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]In Windows gibt es eine gravierende, aber ungepatchte Schwachstelle im SMBv3-Protokoll. Diese k\u00f6nnte die Verbreitung von W\u00fcrmern erm\u00f6glichen, wird aktuell aber wohl noch nicht ausgenutzt. Microsoft hat die Information gestern in einem Sicherheitshinweis gegeben.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg02.met.vgwort.de\/na\/842a10e2b4a346f28bee781b4f627a18\" alt=\"\" width=\"1\" height=\"1\" \/>Ich habe das Ganze bereits die Nacht per Mail von Microsoft in Form des Sicherheitshinweises <a href=\"https:\/\/web.archive.org\/web\/20201008080349\/https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/ADV200005\" target=\"_blank\" rel=\"noopener noreferrer\">ADV200005<\/a> erhalten:<\/p>\n<p>Security Advisories Released or Updated on March 10, 2020<br \/>\n=============================================<br \/>\n* Microsoft Security Advisory ADV200005<\/p>\n<p>&#8211; <a href=\"https:\/\/web.archive.org\/web\/20201008080349\/https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/ADV200005\" target=\"_blank\" rel=\"noopener noreferrer\">ADV200005<\/a> | Microsoft Guidance for Disabling SMBv3 Compression<br \/>\n&#8211; Reason for Revision: Information published.<br \/>\n&#8211; Originally posted: March 10, 2020<br \/>\n&#8211; Updated: N\/A<br \/>\n&#8211; Version 1.0<\/p>\n<p>Die Schwachstelle wird auch als SMBGhost bezeichnet, weil sie wohl jeder bereits kennt, die Ver\u00f6ffentlichung aber ungeplant war.<\/p>\n<h2>Details zur Schwachstelle CVE-2020-0796<\/h2>\n<p>In der Microsoft-Implementierung des SMBv3-Protokolls gibt eine Schwachstelle (<a href=\"https:\/\/kb.cert.org\/vuls\/id\/872016\/\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-0796<\/a>) in der Handhabung der Kompression. Diese Schwachstelle erm\u00f6glicht einem Remote-Angreifer die Ausf\u00fchrung von beliebigem Code auf einem verwundbaren System, ohne dass eine Anmeldung erforderlich ist. Das ist das 'wormable' Szenario, welches Malware die Ausbreitung \u00fcber ein Netzwerk erm\u00f6glicht. Diese wurde von <a href=\"https:\/\/de.tenable.com\/blog\/cve-2020-0796-wormable-remote-code-execution-vulnerability-in-microsoft-server-message-block?tns_redirect=true\" target=\"_blank\" rel=\"noopener noreferrer\">Tenable<\/a> gefunden und an Microsoft gemeldet. Tenable bezeichnet die Schwachstelle als <em>EternalDarkness<\/em>. Betroffen sind laut Tenable folgende Windows-Versionen:<\/p>\n<ul>\n<li>Windows Server Version 1903 (Server Core Installation)<\/li>\n<li>Windows Server Version 1909 (Server Core Installation)<\/li>\n<li>Windows 10 Version 1903 for 32-bit Systems<\/li>\n<li>Windows 10 Version 1903 for ARM64-based Systems<\/li>\n<li>Windows 10 Version 1903 for x64-based Systems<\/li>\n<li>Windows 10 Version 1909 for 32-bit Systems<\/li>\n<li>Windows 10 Version 1909 for ARM64-based Systems<\/li>\n<li>Windows 10 Version 1909 for x64-based Systems<\/li>\n<\/ul>\n<p>Das Ganze betrifft die Implementierung von Microsoft Server Message Block 3.1.1 (SMBv3). Microsoft schreibt dazu, dass man sich der Schwachstelle bei der Remotecodeausf\u00fchrung bewusst sei. Die Schwachstelle besteht darin, wie das Microsoft Server Message Block 3.1.1 (SMBv3)-Protokoll bestimmte Anfragen behandelt. Ein Angreifer, der die Schwachstelle erfolgreich ausnutzt, k\u00f6nnte die F\u00e4higkeit erlangen, Code auf dem SMB-Zielserver oder SMB-Client auszuf\u00fchren.<\/p>\n<p>Um die Schwachstelle gegen einen SMB-Server auszunutzen, m\u00fcsste ein nicht authentifizierter Angreifer ein speziell pr\u00e4pariertes Paket an einen SMBv3-Zielserver senden. Um die Schwachstelle gegen\u00fcber einem SMB-Client auszunutzen, m\u00fcsste ein nicht authentifizierter Angreifer einen b\u00f6sartigen SMBv3-Server konfigurieren und einen Benutzer dazu bringen, eine Verbindung zu diesem zu erstellen.<\/p>\n<blockquote><p>Unklar ist mir die Aufteilung in SMBv3-Server und -Client, denn jede SMB-Freigabe f\u00fchrt dazu, dass ein Windows 10-Client als 'Server' f\u00fcr SMBv3-Anfragen fungiert. Hier h\u00e4lt sich Microsoft aber bedeckt.<\/p><\/blockquote>\n<h2>Kein Update f\u00fcr die Schwachstelle verf\u00fcgbar<\/h2>\n<p>Bisher steht von Microsoft noch kein Update zum Schlie\u00dfen der SMBv3-Schwachstelle zur Verf\u00fcgung. Am gestrigen Patchday (10.3.2020) wurde das Problem jedenfalls nicht adressiert.<\/p>\n<h3>Ein Workaround<\/h3>\n<p>Von Microsoft wird aktuell in <a href=\"https:\/\/web.archive.org\/web\/20201008080349\/https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/ADV200005\" target=\"_blank\" rel=\"noopener noreferrer\">ADV200005<\/a> als Workaround nur das Abschalten der Kompression im SMBv3-Protokoll vorgeschlagen. Hierzu ist auf dem SMBv3-Server eine administrative Eingabeaufforderung zu \u00f6ffnen und folgende PowerShell-Anweisung einzugeben:<\/p>\n<pre>Set-ItemProperty -Path \"HKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters\" DisableCompression -Type DWORD -Value 1 -Force<\/pre>\n<p>Dieser Befehl erfordert keinen Neustart des Servers. Es sei aber angemerkt, dass dieser Workaround nicht die Ausnutzung der Schwachstelle auf SMBv3-Clients verhindert.<\/p>\n<p>Um den Workaround sp\u00e4ter r\u00fcckg\u00e4ngig zu machen, ist folgende PowerShell-Anweisung in einer administrativen Eingabeaufforderung einzugeben.<\/p>\n<pre>Set-ItemProperty -Path \"HKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters\" DisableCompression -Type DWORD -Value 0 -Force<\/pre>\n<p>F\u00fcr Administratoren in Unternehmensumgebungen noch ein Tipp. In <a href=\"https:\/\/powershellexplained.com\/2020-03-10-Powershell-disable-smb3-compression\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Beitrag<\/a> stellt jemand PowerShell-Scripte vor, um das Ganze auf mehreren Hosts zu deaktivieren.<\/p>\n<blockquote><p>An dieser Stelle noch einige Erg\u00e4nzungen gegen\u00fcber dem Microsoft Advisory. Ich gehe davon aus, dass man den obigen PowerShell-Befehl auch auf Windows 10-Clients verwenden kann, um die SMBv3-Kompression tempor\u00e4r zu deaktivieren. Sobald ein Patch wieder verf\u00fcgbar ist, sollte die die Komprimierung (aus Effizienzgr\u00fcnden) wieder zugelassen werden. In obigem PowerShell-Befehl wird der Workaround durch Setzen des Registry-Werts 0 wieder r\u00fcckg\u00e4ngig gemacht. Hier verweise ich auf <a href=\"https:\/\/www.heise.de\/forum\/heise-Security\/News-Kommentare\/Patchday-Windows-Trojaner-koennte-sich-durch-SMB-Luecke-wurmartig-verbreiten\/Microsoft-schlampt-sogar-bei-seiner-eigenen-Anleitung\/thread-6303338\/#posting_36286194\" target=\"_blank\" rel=\"noopener noreferrer\">diese Diskussion<\/a> bei heise, dass ein L\u00f6schen eventuell besser w\u00e4re.<\/p><\/blockquote>\n<p>Microsoft schl\u00e4gt in in <a href=\"https:\/\/web.archive.org\/web\/20201008080349\/https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/ADV200005\" target=\"_blank\" rel=\"noopener noreferrer\">ADV200005<\/a> zudem vor, den TCP-Port 445 in der Firewall zu blockieren. Dieser Port wird verwendet, um eine Verbindung mit der betroffenen Komponente zu initiieren. Die Blockierung dieses Ports an der Firewall des Netzwerkperimeters (\u00dcbergang zwischen dem Unternehmensnetzwerk und dem Internet) tr\u00e4gt dazu bei, Systeme, die sich hinter dieser Firewall befinden, vor Versuchen zu sch\u00fctzen, diese Schwachstelle per Internet auszunutzen. Dies kann dazu beitragen, Netzwerke vor Angriffen zu sch\u00fctzen, die ihren Ursprung au\u00dferhalb des Unternehmensnetzwerks haben.<\/p>\n<p>Das Blockieren der betroffenen Ports in der Firewall ist die beste Verteidigung, um internetbasierte Angriffe zu vermeiden. Allerdings k\u00f6nnten Systeme immer noch anf\u00e4llig f\u00fcr Angriffe aus dem Unternehmensnetzwerk heraus sein. Ist ein Server oder ein Client \u00fcber das Internet erreichbar, k\u00f6nnten Angreifer \u00fcber diese Stelle dann auf das Unternehmensnetzwerk zugreifen.<\/p>\n<p><strong>Erg\u00e4nzung:<\/strong>Es gibt ein Sicherheitsupdate zum Schlie\u00dfen der Schwachstelle, siehe\u00a0<a href=\"https:\/\/borncity.com\/blog\/2020\/03\/12\/windows-10-patch-fr-smbv3-schwachstelle-cve-2020-0796\/\" rel=\"bookmark\">Windows 10: Patch f\u00fcr SMBv3-Schwachstelle CVE-2020-0796<\/a>).<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/02\/13\/microsoft-empfiehlt-smbv1-bei-exchange-zu-deaktivieren\/\">Microsoft empfiehlt SMBv1 bei Exchange zu deaktivieren<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/08\/27\/smbv1-faq-und-windows-netzwerke\/\">SMBv1-FAQ und Windows-Netzwerke<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/07\/11\/samba-4-11-deaktiviert-smbv1-und-untersttzt-smbv2\/\">Samba 4.11 deaktiviert SMBv1 und unterst\u00fctzt SMBv2<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/07\/23\/windows-10-smbv1-klippen-in-version-1803\/\">Windows 10: SMBv1-Klippen in Version 1803<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/06\/27\/windows-10-v1803-smbv1-fix-mit-update-kb4284848\/\">Windows 10 V1803: SMBv1-Fix mit Update KB4284848<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]In Windows gibt es eine gravierende, aber ungepatchte Schwachstelle im SMBv3-Protokoll. Diese k\u00f6nnte die Verbreitung von W\u00fcrmern erm\u00f6glichen, wird aktuell aber wohl noch nicht ausgenutzt. Microsoft hat die Information gestern in einem Sicherheitshinweis gegeben.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[123,426,3694,2557],"tags":[4307,4328,7946,3288],"class_list":["post-229316","post","type-post","status-publish","format-standard","hentry","category-netzwerk","category-sicherheit","category-windows-10","category-windows-server","tag-netzwerk","tag-sicherheit","tag-smbv3","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229316","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=229316"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229316\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=229316"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=229316"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=229316"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}