Kurz nach der Veröffentlichung seiner monatlicher Stapel von Sicherheitsupdates, Microsoft gab gestern spät separat eine beratend Milliarden seiner Windows-Benutzer werden vor einer neuen kritischen, nicht gepatchten und schädlichen Sicherheitsanfälligkeit gewarnt Server-Nachrichtenblock 3.0 (SMBv3) Netzwerkkommunikationsprotokoll.
Es scheint, dass Microsoft ursprünglich geplant hatte, den Fehler nur im Rahmen seines Patch-Dienstag-Updates vom März 2020 zu beheben, aber aus irgendeinem Grund hat es in letzter Minute den Stecker gezogen, was anscheinend ein Technologieunternehmen nicht davon abgehalten hat, versehentlich die Existenz des ungepatchter Fehler.
Der noch zu reparierende Fehler (verfolgt als CVE-2020-0796) könnte bei erfolgreicher Ausnutzung einem Angreifer erlauben, dies zu tun beliebigen Code ausführen auf dem Ziel-SMB-Server oder SMB-Client.
Die verspätete Bestätigung von Microsoft veranlasste einige Forscher, den Fehler als „Fehler“ zu bezeichnen.SMBGhost"
"Um die Sicherheitsanfälligkeit gegen einen SMB-Server auszunutzen, könnte ein nicht authentifizierter Angreifer ein speziell gestaltetes Paket an einen Ziel-SMBv3-Server senden", gab Microsoft in einem Hinweis bekannt. "Um die Sicherheitsanfälligkeit gegen einen SMB-Client auszunutzen, muss ein nicht authentifizierter Angreifer einen böswilligen SMBv3-Server konfigurieren und einen Benutzer davon überzeugen, eine Verbindung zu ihm herzustellen."
Das Server Message Block-Protokoll bietet die Grundlage für die gemeinsame Nutzung von Dateien, das Durchsuchen des Netzwerks, Druckdienste und die Interprozesskommunikation über ein Netzwerk.
Laut einem inzwischen entfernten Beitrag von Cisco Talos öffnet der Fehler anfällige Systeme für einen „Wurm“ -Angriff, wodurch die Übertragung von einem Opfer zum anderen vereinfacht wird.
Obwohl unklar ist, wann Microsoft den Fehler beheben möchte, fordert das Unternehmen die Benutzer auf, die SMBv3-Komprimierung zu deaktivieren und den TCP-Port 445 auf Firewalls und Clientcomputern zu blockieren, um dies zu umgehen.
Set-ItemProperty -Path “HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters” DisableCompression -Type DWORD -Value 1 -Force
Darüber hinaus hat Microsoft darauf hingewiesen, dass das Deaktivieren der SMBv3-Komprimierung die Ausnutzung von SMB-Clients nicht verhindert.
Es sei darauf hingewiesen, dass der Fehler nur Windows 10 Version 1903, Windows 10 Version 1909, Windows Server Version 1903 und Windows Server Version 1909 betrifft. Es ist jedoch möglich, dass mehr Versionen betroffen sind, als SMB 3.0 mit Windows 8 und Windows Server 2012 eingeführt wurde.
Trotz der Schwere des SMB-Fehlers gibt es keine Hinweise darauf, dass er in freier Wildbahn ausgenutzt wird. Es muss aber auch darauf hingewiesen werden, dass dies bei weitem nicht das einzige Mal ist, dass SMB als Angriffsvektor für Angriffsversuche ausgenutzt wurde.
Alleine in den letzten Jahren waren einige der wichtigsten Ransomware-Infektionen, einschließlich WannaCry und NotPetyawaren die Folge von SMB-basierten Exploits.
Bis Microsoft ein Sicherheitsupdate veröffentlicht, mit dem der RCE-Fehler CVE-2020-0796 behoben werden soll, wird den Systemadministratoren empfohlen, die Problemumgehungen zu implementieren, um Angriffe zu blockieren, die versuchen, die Sicherheitsanfälligkeit auszunutzen.
