{"id":229739,"date":"2020-03-19T00:22:41","date_gmt":"2020-03-18T23:22:41","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=229739"},"modified":"2020-03-19T11:53:14","modified_gmt":"2020-03-19T10:53:14","slug":"aktuelles-zur-windows-smbv3-schwachstelle-smbghost","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/03\/19\/aktuelles-zur-windows-smbv3-schwachstelle-smbghost\/","title":{"rendered":"Aktuelles zur Windows SMBv3-Schwachstelle SMBGhost"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/win102.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/03\/19\/news-about-the-windows-smbv3-vulnerability-smbghost\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Kleine Aktualisierung zum Thema SMBGhost-Schwachstelle CVE-2020-0796 im SMBv3-Protokoll von Windows 10 Version 190x und Windows Server 2019. Microsoft hat zwar ein Update zum Schlie\u00dfen der Schwachstelle freigegeben. Dieses l\u00f6st aber bei manchen Systemen Installationsfehler aus. Nach wie vor sind tausende Systeme anf\u00e4llig gegen die Schwachstelle, die nun bereits angegriffen werden.<\/p>\n<p><!--more--><\/p>\n<h2>Patch f\u00fcr SMBv3-Schwachstelle CVE-2020-0796<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg02.met.vgwort.de\/na\/8038775404b044e593defc20ec23180b\" alt=\"\" width=\"1\" height=\"1\" \/>Zum M\u00e4rz 2020-Patchday (10.3.2020) wurde eine eine gravierende, aber ungepatchte Schwachstelle (<a href=\"https:\/\/kb.cert.org\/vuls\/id\/872016\/\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-0796<\/a>) im SMBv3-Protokoll von Windows \u00f6ffentlich. Diese Schwachstelle k\u00f6nnte die Verbreitung von W\u00fcrmern erm\u00f6glichen. Ich hatte ausf\u00fchrlich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/03\/11\/windows-smbv3-0-day-schwachstelle-cve-2020-0796\/\">Windows SMBv3 0-day-Schwachstelle CVE-2020-0796<\/a> berichtet.<\/p>\n<p>Zum 12. M\u00e4rz 2020 hat Microsoft dann ein au\u00dferplanm\u00e4\u00dfiges Sicherheitsupdate <a href=\"https:\/\/support.microsoft.com\/help\/4551762\/\" target=\"_blank\" rel=\"noopener noreferrer\">KB4551762<\/a> f\u00fcr die SMBv3-Schwachstelle CVE-2020-0796 f\u00fcr folgende Windows-Versionen:<\/p>\n<ul>\n<li>Windows Server Version 1903 (Server Core Installation)<\/li>\n<li>Windows Server Version 1909 (Server Core Installation)<\/li>\n<li>Windows 10 Version 1903 for 32-bit Systems<\/li>\n<li>Windows 10 Version 1903 for ARM64-based Systems<\/li>\n<li>Windows 10 Version 1903 for x64-based Systems<\/li>\n<li>Windows 10 Version 1909 for 32-bit Systems<\/li>\n<li>Windows 10 Version 1909 for ARM64-based Systems<\/li>\n<li>Windows 10 Version 1909 for x64-based Systems<\/li>\n<\/ul>\n<p>freigegeben (siehe auch den Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/03\/12\/windows-10-patch-fr-smbv3-schwachstelle-cve-2020-0796\/\">Windows 10: Patch KB4551762 f\u00fcr SMBv3-Schwachstelle CVE-2020-0796<\/a>).<\/p>\n<h2>Update KB4551762 verursacht Probleme<\/h2>\n<p>Das Problem ist, dass dieses Update bei einigen Nutzern Installationsfehler ausl\u00f6st. Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/03\/13\/windows-10-fehler-0x800f0988-0x800f0900-bei-kb4551762\/\">Windows 10: Fehler 0x800f0988\/0x800f0900 bei KB4551762<\/a> auf solche Probleme hingewiesen. Bleeping Computer hat weitere Fehler in <a href=\"https:\/\/www.bleepingcomputer.com\/news\/microsoft\/windows-10-kb4551762-security-update-fails-to-install-causes-issues\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> gesammelt.<\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Bei Golem wird in <a href=\"https:\/\/www.golem.de\/news\/microsoft-windows-10-update-soll-rechner-spuerbar-verlangsamen-2003-147316.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> von einer Verlangsamung der Rechner durch die Updates KB4540673, KB4551762 und KB4535996 sowie erh\u00f6htem RAM-Bedarf berichtet.<\/p>\n<p>Blog-Leser EP weist in <a href=\"https:\/\/borncity.com\/win\/2020\/03\/13\/windows-10-kb4551762-causes-error-0x800f0988-0x800f0900\/#comment-8876\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Kommentar<\/a> auf weitere Probleme beim Drucken, verursacht durch das Update, hin. Bei askwoody.com <a href=\"https:\/\/www.askwoody.com\/forums\/topic\/win10-1909-kb4551762\/#post-2208340\" target=\"_blank\" rel=\"noopener noreferrer\">berichtet ein Nutzer<\/a> zudem, dass seine HP-Drucker seit der Installation des Updates nicht mehr funktionieren. Auch im HP-Forum gibt es <a href=\"https:\/\/h30434.www3.hp.com\/t5\/Inkjet-Printing\/HP-Envy-7640-do-not-print-after-Windows-Update-KB4551762\/td-p\/7509365\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Eintrag<\/a>, der \u00e4hnliches berichtet:<\/p>\n<blockquote><p>HP Envy 7640 do not print after Windows Update KB4551762<\/p>\n<p>On Win 10, HP Envy 7640 do not work since the windows update KB4551762 (no error, the spooler is ok, but the printer do not print).<\/p>\n<p>When i uninstall the KB4551762, it's ok.<\/p><\/blockquote>\n<p>Lassen sich diese Fehler (Verlangsamung, Druckerprobleme) best\u00e4tigen? Es gibt also Nutzer, die Probleme mit der Update KB4551762-Installation haben. Das setzt das System aber Risiken aus.<\/p>\n<h2>48.000 Windows-Hosts per CVE-2020-0796 angreifbar<\/h2>\n<p>Nach einem internetweiten Scan entdeckten Forscher der Cybersicherheitsfirma Kryptos Logic etwa 48.000 Windows 10-Hosts, die anf\u00e4llig f\u00fcr Angriffe sind, die auf die in Microsoft Server Message Block 3.1.1 (SMBv3) gefundene Sicherheitsl\u00fccke CVE-2020-0796 (Pre-Auth Remote Code Execution) abzielen.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">We've just finished our first internet wide scan for CVE-2020-0796 and have identified 48000 vulnerable hosts. We'll be loading this data into Telltale for CERTs and organisations to action. We're also working on a blog post with more details (after patch).<\/p>\n<p>\u2014 Kryptos Logic (@kryptoslogic) <a href=\"https:\/\/twitter.com\/kryptoslogic\/status\/1238069159919063050?ref_src=twsrc%5Etfw\">March 12, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Bleeping Computer hat dies in <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/48k-windows-hosts-vulnerable-to-smbghost-cve-2020-0796-rce-attacks\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> aufgegriffen. Inzwischen liegen auch erste Proof of Concept (PoC)-Beispiele vor, die die Schwachstelle ausnutzen. Auf <a href=\"https:\/\/github.com\/search?q=CVE-2020-0796\" target=\"_blank\" rel=\"noopener noreferrer\">GitHub finden sich<\/a> sowohl PoC-Beispiele also auch Scanner, mit denen sich ein Netzwerk auf angreifbare Rechner scannen l\u00e4sst.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">GreyNoise is observing ~300 devices probing the Internet for devices vulnerable to Windows SMB CVE-2020-0796 (SMBGhost). The majority of the probes are originating from a hosting provider in Germany.<\/p>\n<p>Tags are available to all users now. <a href=\"https:\/\/t.co\/bjKozZVK8b\">https:\/\/t.co\/bjKozZVK8b<\/a> <a href=\"https:\/\/t.co\/DqzsajpqON\">pic.twitter.com\/DqzsajpqON<\/a><\/p>\n<p>\u2014 GreyNoise Intelligence (@GreyNoiseIO) <a href=\"https:\/\/twitter.com\/GreyNoiseIO\/status\/1238499351778988032?ref_src=twsrc%5Etfw\">March 13, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Obigem Tweet entnehme ich, dass um die 300 Quellen momentan das Internet auf angreifbare Windows-Systeme mit der Schwachstelle VE-2020-0796 (SMBGhost) scannen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/03\/11\/windows-smbv3-0-day-schwachstelle-cve-2020-0796\/\">Windows SMBv3 0-day-Schwachstelle CVE-2020-0796<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/03\/12\/windows-10-patch-fr-smbv3-schwachstelle-cve-2020-0796\/\">Windows 10: Patch KB4551762 f\u00fcr SMBv3-Schwachstelle CVE-2020-0796<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/03\/13\/windows-10-fehler-0x800f0988-0x800f0900-bei-kb4551762\/\">Windows 10: Fehler 0x800f0988\/0x800f0900 bei KB4551762<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/03\/12\/scanner-fr-windows-smbv3-schwachstelle-cve-2020-0796\/\">Scanner f\u00fcr Windows SMBv3-Schwachstelle CVE-2020-0796<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Kleine Aktualisierung zum Thema SMBGhost-Schwachstelle CVE-2020-0796 im SMBv3-Protokoll von Windows 10 Version 190x und Windows Server 2019. Microsoft hat zwar ein Update zum Schlie\u00dfen der Schwachstelle freigegeben. Dieses l\u00f6st aber bei manchen Systemen Installationsfehler aus. Nach wie vor sind tausende &hellip; <a href=\"https:\/\/borncity.com\/blog\/2020\/03\/19\/aktuelles-zur-windows-smbv3-schwachstelle-smbghost\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[123,426,3694,2557],"tags":[7949,4307,4328,7946,4315,3288],"class_list":["post-229739","post","type-post","status-publish","format-standard","hentry","category-netzwerk","category-sicherheit","category-windows-10","category-windows-server","tag-kb4551762","tag-netzwerk","tag-sicherheit","tag-smbv3","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229739","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=229739"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229739\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=229739"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=229739"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=229739"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}