{"id":232394,"date":"2020-06-06T08:06:30","date_gmt":"2020-06-06T06:06:30","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=232394"},"modified":"2022-01-24T17:43:42","modified_gmt":"2022-01-24T16:43:42","slug":"windows-10-poc-fr-smbghost-schwachstelle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/06\/06\/windows-10-poc-fr-smbghost-schwachstelle\/","title":{"rendered":"Windows 10: PoC f&uuml;r SMBGhost-Schwachstelle"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/win102.jpg\" width=\"58\" align=\"left\" height=\"58\"\/>[<a href=\"https:\/\/borncity.com\/win\/2020\/06\/06\/windows-10-poc-for-smbghost-vulnerability\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Benutzer von Windows 10-Systemen sollten diese patchen, denn inzwischen ist ein Proof of Concept (PoC) f\u00fcr die SMBGhost-Schwachstelle \u00f6ffentlich geworden.<\/p>\n<p><!--more--><\/p>\n<h2>Die SMBGhost-Schwachstelle CVE-2020-0796 <\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg04.met.vgwort.de\/na\/c3a286fd025f407285bf242688293c8c\" width=\"1\" height=\"1\"\/>In der Microsoft-Implementierung des SMBv3-Protokolls gibt eine Schwachstelle (<a href=\"https:\/\/kb.cert.org\/vuls\/id\/872016\/\">CVE-2020-0796<\/a>) in der Handhabung der Kompression. Diese Schwachstelle erm\u00f6glicht einem Remote-Angreifer die Ausf\u00fchrung von beliebigem Code auf einem verwundbaren System, ohne dass eine Anmeldung erforderlich ist. Ich hatte den obigen Sachverhalt zeitnah im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/03\/11\/windows-smbv3-0-day-schwachstelle-cve-2020-0796\/\">Windows SMBv3 0-day-Schwachstelle CVE-2020-0796<\/a> angesprochen. <\/p>\n<p>Das ist das 'wormable' Szenario, welches Malware die Ausbreitung \u00fcber ein Netzwerk erm\u00f6glicht. Diese wurde von <a href=\"https:\/\/de.tenable.com\/blog\/cve-2020-0796-wormable-remote-code-execution-vulnerability-in-microsoft-server-message-block?tns_redirect=true\">Tenable<\/a> gefunden und an Microsoft gemeldet. Tenable bezeichnet die Schwachstelle als <em>EternalDarkness<\/em>. Die SMBGhost-Schwachstelle CVE-2020-0796 wurde im M\u00e4rz 2020 durch ein Security-Advisory <a href=\"https:\/\/web.archive.org\/web\/20201008080349\/https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/ADV200005\">ADV200005<\/a> (Microsoft Guidance for Disabling SMBv3 Compression) \u00f6ffentlich bekannt. Die Offenlegung erfolgte, weil Microsoft im M\u00e4rz 2020 zum regul\u00e4ren Patchday keine Sicherheits-Updates zum Schlie\u00dfen dieser Schwachstelle bereitstellen konnte. <\/p>\n<h2>Es gibt einen Patch, der Probleme macht<\/h2>\n<p>Zum 12. M\u00e4rz 2020 hat Microsoft dann ein au\u00dferplanm\u00e4\u00dfiges Sicherheitsupdate <a href=\"https:\/\/support.microsoft.com\/help\/4551762\/\" target=\"_blank\" rel=\"noopener noreferrer\">KB4551762<\/a> f\u00fcr die SMBv3-Schwachstelle CVE-2020-0796 f\u00fcr folgende Windows-Versionen:  <\/p>\n<ul>\n<li>Windows Server Version 1903 (Server Core Installation)  <\/li>\n<li>Windows Server Version 1909 (Server Core Installation)  <\/li>\n<li>Windows 10 Version 1903 for 32-bit Systems  <\/li>\n<li>Windows 10 Version 1903 for ARM64-based Systems  <\/li>\n<li>Windows 10 Version 1903 for x64-based Systems  <\/li>\n<li>Windows 10 Version 1909 for 32-bit Systems  <\/li>\n<li>Windows 10 Version 1909 for ARM64-based Systems  <\/li>\n<li>Windows 10 Version 1909 for x64-based Systems<\/li>\n<\/ul>\n<p>freigegeben (siehe auch den Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/03\/12\/windows-10-patch-fr-smbv3-schwachstelle-cve-2020-0796\/\" target=\"_blank\" rel=\"noopener noreferrer\">Windows 10: Patch KB4551762 f\u00fcr SMBv3-Schwachstelle CVE-2020-0796<\/a>).  <\/p>\n<p>Das Problem ist, dass dieses Update bei einigen Nutzern Installationsfehler ausl\u00f6st. Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/03\/13\/windows-10-fehler-0x800f0988-0x800f0900-bei-kb4551762\/\">Windows 10: Fehler 0x800f0988\/0x800f0900 bei KB4551762<\/a> auf solche Probleme hingewiesen. Bleeping Computer hat weitere Fehler in <a href=\"https:\/\/www.bleepingcomputer.com\/news\/microsoft\/windows-10-kb4551762-security-update-fails-to-install-causes-issues\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> gesammelt. Ein Abriss ist im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/03\/19\/aktuelles-zur-windows-smbv3-schwachstelle-smbghost\/\">Aktuelles zur Windows SMBv3-Schwachstelle SMBGhost<\/a> zu finden. <\/p>\n<h2>Proof of Concept, patchen erforderlich<\/h2>\n<p>Wer die SMBGhost-Schwachstelle CVE-2020-0796 auf betroffenen Maschinen noch nicht durch ein Update geschlossen hat, sollte nun unbedingt reagieren. Denn es ist eine Frage der Zeit, dass die (zahlreichen) ungepatchten Maschinen durch Cyber-Kriminelle \u00fcber diese Schwachstelle angegriffen werden. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Windows 10 SMBGhost bug gets public proof-of-concept RCE exploit &#8211; <a href=\"https:\/\/twitter.com\/Ionut_Ilascu?ref_src=twsrc%5Etfw\">@Ionut_Ilascu<\/a><a href=\"https:\/\/t.co\/B6r4bQbaHi\">https:\/\/t.co\/B6r4bQbaHi<\/a><\/p>\n<p>\u2014 BleepingComputer (@BleepinComputer) <a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1268962576748228609?ref_src=twsrc%5Etfw\">June 5, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Obigem Tweet von Bleeping Computer und dem <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/windows-10-smbghost-bug-gets-public-proof-of-concept-rce-exploit\/\" target=\"_blank\" rel=\"noopener noreferrer\">zugeh\u00f6rigen Artikel<\/a> entnehme ich, dass es in der Vergangenheit bereits Versuche (<a href=\"https:\/\/twitter.com\/VK_Intel\/status\/1266243264077684736\" target=\"_blank\" rel=\"noopener noreferrer\">1<\/a>, <a href=\"http:\/\/twitter.com\/VK_Intel\/status\/1266790122378444802\" target=\"_blank\" rel=\"noopener noreferrer\">2<\/a>) gab, die Schwachstelle f\u00fcr Trojaner auszunutzen. Ein Sicherheitsforscher hat nun aber auf GitHub ein Proof of Concept <a href=\"https:\/\/github.com\/chompie1337\/SMBGhost_RCE_PoC\" target=\"_blank\" rel=\"noopener noreferrer\">SMBGhost_RCE_PoC<\/a> ver\u00f6ffentlicht, mit dem man die Schwachstelle ausnutzen kann. Der Exploit beruht auf einem physischen Lese-Primitiv, sagte der Sicherheitsforscher gegen\u00fcber BleepingComputer. Mit dem PoC-Code sollte dieses interessante Primitiv demonstriert werden. Meist gibt es zwar BlueScreens (BSOD) \u2013 aber der Forscher sagt, dass dieses Primitiv m\u00f6glicherweise eine leichtere Ausnutzung k\u00fcnftiger Fehler bei der Speicherverf\u00e4lschung in KMU erm\u00f6glicht. Im Moment wird ein Informationsleck f\u00fcr die entfernte Ausnutzung ben\u00f6tigt. Das Primitive w\u00fcrde jedoch eine weniger komplizierte Methode erlauben. Sicherheitsforscher Will Dormann hat den PoC getestet und unterschiedliche Resultate erhalten \u2013 es ist als noch kein fool proof-Ansatz. <\/p>\n<p>Aber es gibt Hinweise von weiteren Sicherheitsforschern, dass der PoC mit Modifikationen funktioniert. Zwischen den Zeilen des Bleeping Computer-Beitrags lese ich auch, dass entsprechende Informationen in den kommenden Tagen ver\u00f6ffentlicht werden d\u00fcrften. Das Ganze ist daher eine Erinnerung, dass Administratoren sich um einen Patch k\u00fcmmern (sofern noch nicht geschehen) m\u00fcssen \u2013 oder alternativ die SMBv3 Compression deaktivieren sollten. Weitere Details sind dem <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/windows-10-smbghost-bug-gets-public-proof-of-concept-rce-exploit\/\" target=\"_blank\" rel=\"noopener noreferrer\">zugeh\u00f6rigen Artikel<\/a> von Bleeping Computer zu entnehmen. <\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/><a href=\"https:\/\/borncity.com\/blog\/2020\/03\/11\/windows-smbv3-0-day-schwachstelle-cve-2020-0796\/\">Windows SMBv3 0-day-Schwachstelle CVE-2020-0796<\/a>&nbsp;<br \/><a href=\"https:\/\/borncity.com\/blog\/2020\/03\/12\/windows-10-patch-fr-smbv3-schwachstelle-cve-2020-0796\/\" target=\"_blank\" rel=\"noopener noreferrer\">Windows 10: Patch KB4551762 f\u00fcr SMBv3-Schwachstelle CVE-2020-0796<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2020\/03\/12\/scanner-fr-windows-smbv3-schwachstelle-cve-2020-0796\/\">Scanner f\u00fcr Windows SMBv3-Schwachstelle CVE-2020-0796<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2020\/03\/19\/aktuelles-zur-windows-smbv3-schwachstelle-smbghost\/\">Aktuelles zur Windows SMBv3-Schwachstelle SMBGhost<\/a>&nbsp;<br \/><a href=\"https:\/\/borncity.com\/blog\/2020\/03\/13\/windows-10-fehler-0x800f0988-0x800f0900-bei-kb4551762\/\">Windows 10: Fehler 0x800f0988\/0x800f0900 bei KB4551762<\/a>  <\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2020\/02\/13\/microsoft-empfiehlt-smbv1-bei-exchange-zu-deaktivieren\/\">Microsoft empfiehlt SMBv1 bei Exchange zu deaktivieren<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/08\/27\/smbv1-faq-und-windows-netzwerke\/\">SMBv1-FAQ und Windows-Netzwerke<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/07\/11\/samba-4-11-deaktiviert-smbv1-und-untersttzt-smbv2\/\">Samba 4.11 deaktiviert SMBv1 und unterst\u00fctzt SMBv2<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/07\/23\/windows-10-smbv1-klippen-in-version-1803\/\">Windows 10: SMBv1-Klippen in Version 1803<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/06\/27\/windows-10-v1803-smbv1-fix-mit-update-kb4284848\/\">Windows 10 V1803: SMBv1-Fix mit Update KB4284848<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Benutzer von Windows 10-Systemen sollten diese patchen, denn inzwischen ist ein Proof of Concept (PoC) f\u00fcr die SMBGhost-Schwachstelle \u00f6ffentlich geworden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694],"tags":[4328,5907,4378],"class_list":["post-232394","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","tag-sicherheit","tag-smb","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/232394","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=232394"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/232394\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=232394"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=232394"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=232394"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}