{"id":263315,"date":"2022-03-11T10:14:39","date_gmt":"2022-03-11T09:14:39","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263315"},"modified":"2024-03-21T22:42:20","modified_gmt":"2024-03-21T21:42:20","slug":"cert-eu-warnt-vor-smbv3-schwachstelle-cve-2022-24508-fix-durch-windows-mrz-2022-updates","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/11\/cert-eu-warnt-vor-smbv3-schwachstelle-cve-2022-24508-fix-durch-windows-mrz-2022-updates\/","title":{"rendered":"CERT-EU warnt vor SMBv3-Schwachstelle CVE-2022-24508, Fix durch Windows M&auml;rz 2022-Updates"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/03\/11\/cert-eu-warnt-vor-smbv3-schwachstelle-cve-2022-24508-fix-durch-windows-mrz-2022-updates\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Mit den Sicherheitsupdates vom 8. M\u00e4rz 2022 f\u00fcr Windows hat Microsoft eine Reihe Schwachstellen geschlossen. Darunter ist auch eine als wichtig eingestufte Remote Code Execution-Schwachstelle (REC) im Windows SMBv3 Client\/Server. CERT-EU warnt in einer aktuellen Mitteilung vor dieser SMBv3-Schwachstelle CVE-2022-24508 und empfiehlt die zeitnahe Installation der Updates oder die Anwendung von Ma\u00dfnahmen, um die Ausnutzung der Schwachstelle zu verhindern. Gl\u00fccklicherweise ben\u00f6tigt die Ausnutzung eine Authentifizierung durch den Angreifer und eine Ausnutzung in freier Wildbahn ist bisher auch nicht bekannt.<\/p>\n<p><!--more--><\/p>\n<h2>SMBv3-Schwachstelle CVE-2022-24508<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/32417a12c0c944258be9d408d28348ab\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin \u00fcber nachfolgenden <a href=\"https:\/\/twitter.com\/CERTEU\/status\/1502043257743851524\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> auf die Warnung des CERT-EU vor der SMBv3-Schwachstelle CVE-2022-24508 aufmerksam geworden. CERT-EU beschreibt die Details in <a href=\"https:\/\/web.archive.org\/web\/20231230172836\/https:\/\/media.cert.europa.eu\/static\/SecurityAdvisories\/2022\/CERT-EU-SA2022-016.pdf\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a>.<\/p>\n<p><a href=\"https:\/\/twitter.com\/CERTEU\/status\/1502043257743851524\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"SMBv3-Schwachstelle CVE-2022-24508\" src=\"https:\/\/i.imgur.com\/rCxy5xM.png\" alt=\"SMBv3-Schwachstelle CVE-2022-24508\" \/><\/a><\/p>\n<p>Die Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2022-24508\" target=\"_blank\" rel=\"noopener\">CVE-2022-24508<\/a> in der SMBv3-Komprimierung erm\u00f6glicht authentifizierten Angreifern eine Remote Code Ausf\u00fchrung \u00fcber die betreffenden Clients oder Server. Betroffen sind alle Windows-Versionen ab der 2004:<\/p>\n<ul>\n<li>Windows 10 Version 20H2<\/li>\n<li>Windows 10 Version 21H1<\/li>\n<li>Windows 10 Version 21H2<\/li>\n<li>Windows 11<\/li>\n<li>Windows Server 2022<\/li>\n<li>Windows Server 2022 (Server Core installation)<\/li>\n<li>Windows Server 2022 Azure Edition Core Hotpatch<\/li>\n<\/ul>\n<p>Laut Microsoft sind bisher keine Angriffe auf diese Schwachstelle bekannt geworden. Details \u00fcber diese Schwachstelle wurden bisher keine ver\u00f6ffentlicht. Die Empfehlung des CERT-EU ist es, diese Schwachstelle zeitnah zu entsch\u00e4rfen.<\/p>\n<h2>Updaten oder Workaround anwenden<\/h2>\n<p>Microsoft hat zum 8. M\u00e4rz 2022 Sicherheitsupdates f\u00fcr die betreffenden Windows-Versionen ver\u00f6ffentlicht, die die Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2022-24508\" target=\"_blank\" rel=\"noopener\">CVE-2022-24508<\/a> im SMBv3-Client\/Server-Implementierung beheben sollen. Die Updates wurden in den nachfolgenden Blog-Beitr\u00e4gen beschrieben.<\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/?p=263236\">Patchday: Windows 10-Updates (8. M\u00e4rz 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/03\/09\/patchday-windows-11-server-2022-updates-8-mrz-2022\/\">Patchday: Windows 11\/Server 2022-Updates (8. M\u00e4rz 2022)<\/a><\/p>\n<p>Bei Windows Server 2022 besteht u.U. das Problem, das nach der Update-Installation diverse Rollen f\u00fcr Remote-Desktop-Gateways nicht mehr vorhanden sind bzw. funktionieren. Ich hatte die Details im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/03\/09\/windows-server-2022-mrz-2022-update-kb5011497-verursacht-probleme-mit-remote-verbindungen\/\">Windows Server 2022: M\u00e4rz 2022-Update KB5011497 verursacht Probleme mit Remote-Desktop-Rollen\/-Verbindungen<\/a> beschrieben.<\/p>\n<p>Gl\u00fccklicherweise sind \u00e4ltere Windows-Versionen nicht betroffen und der Angreifer m\u00fcsste authentifiziert sein, um die Schwachstelle auszunutzen. Wer das Update wegen der oben genannten oder anderer Probleme nicht zeitnah installieren kann, sollte die von Microsoft im Artikel zur Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2022-24508\" target=\"_blank\" rel=\"noopener\">CVE-2022-24508<\/a> beschriebenen Workarounds anwenden:<\/p>\n<ul>\n<li>Deaktivieren der SMBv3-Komprimierung<\/li>\n<li>Blockieren des TCP-Ports 445 an der Firewall des Unternehmens gegen\u00fcber externen Zugriffen<\/li>\n<\/ul>\n<p>Der Microsoft-Beitrag nennt folgenden PowerShell-Befehl zum<\/p>\n<pre><code>Set-ItemProperty -Path \"HKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters\" DisableCompression -Type DWORD -Value 1 -Force<\/code><\/pre>\n<p>zum Deaktivieren der SMBv3-Komprimierung auf einem SMBv3-Server. Nach der \u00c4nderung ist kein Neustart erforderlich.<\/p>\n<blockquote><p><strong>Achtung:<\/strong> Diese Problemumgehung verhindert nicht die Ausnutzung der Schwachstelle auf SMB-Clients. Hier hat Microsoft <a href=\"https:\/\/support.microsoft.com\/de-de\/topic\/verhindern-des-smb-datenverkehrs-%C3%BCber-laterale-verbindungen-und-ein-oder-verlassen-des-netzwerks-c0541db7-2244-0dce-18fd-14a3ddeb282a\">diesen Beitrag<\/a> mit Hinweisen ver\u00f6ffentlicht.<\/p><\/blockquote>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/03\/08\/microsoft-security-update-summary-8-mrz-2022\/\">Microsoft Security Update Summary (8. M\u00e4rz 2022<\/a>)<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/?p=263236\">Patchday: Windows 10-Updates (8. M\u00e4rz 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/03\/09\/patchday-windows-11-server-2022-updates-8-mrz-2022\/\">Patchday: Windows 11\/Server 2022-Updates (8. M\u00e4rz 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/03\/09\/windows-7-server-2008r2-windows-8-1-server-2012r2-updates-8-mrz-2022\/\">Windows 7\/Server 2008R2; Windows 8.1\/Server 2012R2: Updates (8. M\u00e4rz 2022)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Mit den Sicherheitsupdates vom 8. M\u00e4rz 2022 f\u00fcr Windows hat Microsoft eine Reihe Schwachstellen geschlossen. Darunter ist auch eine als wichtig eingestufte Remote Code Execution-Schwachstelle (REC) im Windows SMBv3 Client\/Server. CERT-EU warnt in einer aktuellen Mitteilung vor dieser SMBv3-Schwachstelle CVE-2022-24508 &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/03\/11\/cert-eu-warnt-vor-smbv3-schwachstelle-cve-2022-24508-fix-durch-windows-mrz-2022-updates\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[8309,4328,4315,3288],"class_list":["post-263315","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-patchday-3-2022","tag-sicherheit","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263315","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=263315"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263315\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=263315"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=263315"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=263315"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}