{"id":229364,"date":"2020-03-12T00:16:00","date_gmt":"2020-03-11T23:16:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=229364"},"modified":"2021-07-05T18:05:42","modified_gmt":"2021-07-05T16:05:42","slug":"scanner-fr-windows-smbv3-schwachstelle-cve-2020-0796","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/03\/12\/scanner-fr-windows-smbv3-schwachstelle-cve-2020-0796\/","title":{"rendered":"Scanner f&uuml;r Windows SMBv3-Schwachstelle CVE-2020-0796"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/win102.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/03\/12\/a-scanner-for-windows-smbv3-vulnerability-cve-2020-0796\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Kleiner Hinweis f\u00fcr Administratoren in Firmennetzwerken, die pr\u00fcfen m\u00f6chten, ob Windows Server gegen\u00fcber der ungepatchten SMBv3-Schwachstelle CVE-2020-0796 anf\u00e4llig sind. Es gibt ein Pyton-Script f\u00fcr diesen Zweck.<\/p>\n<p><!--more--><\/p>\n<h2>Die SMBv3-Schwachstelle (CVE-2020-0796)<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg02.met.vgwort.de\/na\/8e0a44e85e244069b33e4f9016ea20ea\" alt=\"\" width=\"1\" height=\"1\" \/>Die in Windows benutzte Microsoft-Implementierung des SMBv3-Protokolls enth\u00e4lt eine EternalDarkness genannte Schwachstelle (<a href=\"https:\/\/kb.cert.org\/vuls\/id\/872016\/\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-0796<\/a>), die bei Verwendung der Kompression auftreten kann. Betroffen sind folgende Windows-Versionen:<\/p>\n<ul>\n<li>Windows Server Version 1903 (Server Core Installation)<\/li>\n<li>Windows Server Version 1909 (Server Core Installation)<\/li>\n<li>Windows 10 Version 1903 for 32-bit Systems<\/li>\n<li>Windows 10 Version 1903 for ARM64-based Systems<\/li>\n<li>Windows 10 Version 1903 for x64-based Systems<\/li>\n<li>Windows 10 Version 1909 for 32-bit Systems<\/li>\n<li>Windows 10 Version 1909 for ARM64-based Systems<\/li>\n<li>Windows 10 Version 1909 for x64-based Systems<\/li>\n<\/ul>\n<p>Das Ganze betrifft die Implementierung von Microsoft Server Message Block 3.1.1 (SMBv3). Diese Schwachstelle erm\u00f6glicht einem Remote-Angreifer die Ausf\u00fchrung von beliebigem Code auf einem verwundbaren System, ohne dass eine Anmeldung erforderlich ist. Die Schwachstelle ist 'wormable', d.h. sie erm\u00f6glicht Malware die Ausbreitung \u00fcber ein Netzwerk.<\/p>\n<p>Ich hatte ja im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/03\/11\/windows-smbv3-0-day-schwachstelle-cve-2020-0796\/\">Windows SMBv3 0-day-Schwachstelle CVE-2020-0796<\/a> dar\u00fcber berichtet. Im verlinkten Artikel sind auch Ma\u00dfnahmen zur Absicherung der Schwachstelle aufgef\u00fchrt. Das es f\u00fcr diesen Bug keinen Patch gibt, sind diese Workarounds, um die SMBv3-Kompression auf der Seite eines Windows Servers abzuschalten, auszuf\u00fchren.<\/p>\n<h2>Pr\u00fcfen, ob ein Server angreifbar ist<\/h2>\n<p>Administratoren stehen ggf. vor der Frage, wie sich \u00fcberpr\u00fcfen l\u00e4sst, ob ein Server gegen\u00fcber der SMBv3-Schwachstelle angreifbar ist. Auf Twitter ist mir gestern dieser Tweet aufgefallen.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Scanner for CVE-2020-0796 <a href=\"https:\/\/twitter.com\/hashtag\/SMBGhost?src=hash&amp;ref_src=twsrc%5Etfw\">#SMBGhost<\/a><\/p>\n<p>This is not meant for research or development. Only for testing if -your- server is vulnerable. Read the README for more info.<\/p>\n<p>Also, please stop calling it CoronaBlue. Disrespectful.<a href=\"https:\/\/t.co\/IhLvAo5bOp\">https:\/\/t.co\/IhLvAo5bOp<\/a><\/p>\n<p>\u2014 ollypwn (@ollypwn) <a href=\"https:\/\/twitter.com\/ollypwn\/status\/1237764523412656128?ref_src=twsrc%5Etfw\">March 11, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Der Sicherheitsforscher verweist auf <a href=\"https:\/\/web.archive.org\/web\/20210401112529\/https:\/\/github.com\/ollypwn\/SMBGhost\" target=\"_blank\" rel=\"noopener noreferrer\">diese GitHub-Seite<\/a>, wo es einen einfachen SMBv3-Scanner SMBGhost gibt, mit dem ein Server auf die Unterst\u00fctzung von Microsofts SMB 3.1.1 gepr\u00fcft werden kann. Das Pyton-Script pr\u00fcft auch, ob die Komprimierung eingeschaltet ist. So l\u00e4sst sich testen, ob der oben erw\u00e4hnte Workaround bis zur Verf\u00fcgbarkeit eines Updates tats\u00e4chlich funktioniert. Weitere Details lassen sich der Readme entnehmen.<\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Es gibt ein Sicherheitsupdate zum Schlie\u00dfen der Schwachstelle, siehe\u00a0<a href=\"https:\/\/borncity.com\/blog\/2020\/03\/12\/windows-10-patch-fr-smbv3-schwachstelle-cve-2020-0796\/\" rel=\"bookmark\">Windows 10: Patch f\u00fcr SMBv3-Schwachstelle CVE-2020-0796<\/a>).<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/02\/13\/microsoft-empfiehlt-smbv1-bei-exchange-zu-deaktivieren\/\">Microsoft empfiehlt SMBv1 bei Exchange zu deaktivieren<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/08\/27\/smbv1-faq-und-windows-netzwerke\/\">SMBv1-FAQ und Windows-Netzwerke<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/07\/11\/samba-4-11-deaktiviert-smbv1-und-untersttzt-smbv2\/\">Samba 4.11 deaktiviert SMBv1 und unterst\u00fctzt SMBv2<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/07\/23\/windows-10-smbv1-klippen-in-version-1803\/\">Windows 10: SMBv1-Klippen in Version 1803<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/06\/27\/windows-10-v1803-smbv1-fix-mit-update-kb4284848\/\">Windows 10 V1803: SMBv1-Fix mit Update KB4284848<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/03\/11\/windows-smbv3-0-day-schwachstelle-cve-2020-0796\/\">Windows SMBv3 0-day-Schwachstelle CVE-2020-0796<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Kleiner Hinweis f\u00fcr Administratoren in Firmennetzwerken, die pr\u00fcfen m\u00f6chten, ob Windows Server gegen\u00fcber der ungepatchten SMBv3-Schwachstelle CVE-2020-0796 anf\u00e4llig sind. Es gibt ein Pyton-Script f\u00fcr diesen Zweck.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694,2557],"tags":[4328,7946,3288],"class_list":["post-229364","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","category-windows-server","tag-sicherheit","tag-smbv3","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229364","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=229364"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229364\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=229364"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=229364"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=229364"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}