Die Implementierung des SMB-Netzwerk-Dateifreigabeprotokolls in Windows weist eine schwerwiegende Sicherheitsanfälligkeit auf, die es Hackern ermöglichen könnte, Systeme zumindest aus der Ferne zum Absturz zu bringen.
Die nicht gepatchte Sicherheitsanfälligkeit wurde am Donnerstag von einem unabhängigen Sicherheitsforscher namens Laurent Gaffié öffentlich bekannt gegeben, der behauptet, Microsoft habe die Veröffentlichung eines Patches für den Fehler in den letzten drei Monaten verzögert.
Gaffié, der auf Twitter als PythonResponder bekannt ist, veröffentlichte auf GitHub einen Proof-of-Concept-Exploit für die Sicherheitsanfälligkeit, der eine Empfehlung des CERT Coordination Center (CERT / CC) der Carnegie Mellon University auslöste.
"Microsoft Windows enthält einen Speicherbeschädigungsfehler bei der Verarbeitung von SMB-Datenverkehr, der es einem entfernten, nicht authentifizierten Angreifer ermöglichen kann, einen Denial-of-Service zu verursachen oder möglicherweise beliebigen Code auf einem anfälligen System auszuführen", heißt es in der Empfehlung von CERT / CC.
Die Implementierung des SMB-Protokolls (Server Message Block) durch Microsoft wird von Windows-Computern zum Freigeben von Dateien und Druckern über ein Netzwerk verwendet und übernimmt auch die Authentifizierung für diese freigegebenen Ressourcen.
Die Sicherheitsanfälligkeit betrifft Microsoft SMB Version 3, die neueste Version des Protokolls. CERT / CC hat bestätigt, dass der Exploit verwendet werden kann, um vollständig gepatchte Versionen von Windows 10 und Windows 8.1 zum Absturz zu bringen.
Ein Angreifer kann die Sicherheitsanfälligkeit ausnutzen, indem er ein Windows-System dazu verleitet, eine Verbindung zu einem böswilligen SMB-Server herzustellen, der dann speziell gestaltete Antworten sendet. Es gibt eine Reihe von Techniken, um solche SMB-Verbindungen zu erzwingen, und einige erfordern wenig oder keine Benutzerinteraktion, warnte CERT / CC.
Die gute Nachricht ist, dass es noch keine bestätigten Berichte über eine erfolgreiche Ausführung von willkürlichem Code durch diese Sicherheitsanfälligkeit gibt. Wenn es sich jedoch um ein Speicherbeschädigungsproblem handelt, wie von CERT / CC beschrieben, kann die Codeausführung möglich sein.
"Die Abstürze, die wir bisher beobachtet haben, manifestieren sich nicht in einer Weise, die auf eine einfache Codeausführung hindeutet, aber das kann sich ändern, da wir Zeit haben, sie eingehender zu analysieren", sagte Carsten Eiram, der Hauptforscher leitender Angestellter des Vulnerability Intelligence-Unternehmens Risk Based Security per E-Mail. "Dies ist nur die Anfangsphase der Analyse."
Das Unternehmen von Carsten bestätigte auch den Absturz auf einem vollständig gepatchten Windows 10-System, muss jedoch noch feststellen, ob es sich nur um einen Absturz der NULL-Zeiger-Dereferenzierung handelt oder um das Ergebnis eines tieferen Problems, das schwerwiegendere Auswirkungen haben könnte. Um auf der sicheren Seite zu sein, folgt das Unternehmen dem Vorbild von CERT / CC, dies als potenziellen Fehler bei der Codeausführung zu behandeln. CERT / CC bewertete die Auswirkung dieser Sicherheitsanfälligkeit mit 10, dem Maximum im Common Vulnerability Scoring System (CVSS)..
Gaffié sagte auf Twitter, dass Microsoft plant, dieses Problem beim nächsten "Patch Tuesday" zu patchen, der diesen Monat am 14. Februar - dem zweiten Dienstag des Monats - stattfinden wird. Es ist jedoch möglich, dass Microsoft aus seinem regulären Patch-Zyklus ausbricht, wenn die Sicherheitsanfälligkeit tatsächlich kritisch ist und in freier Wildbahn ausgenutzt wird.
Microsoft hat nicht sofort auf eine Anfrage nach einem Kommentar geantwortet.
Sowohl CERT / CC als auch Eiram empfehlen Netzwerkadministratoren, ausgehende SMB-Verbindungen - TCP-Ports 139 und 445 sowie UDP-Ports 137 und 138 - von lokalen Netzwerken zum Internet zu blockieren. Dadurch wird die Bedrohung nicht vollständig beseitigt, sondern auf lokale Netzwerke beschränkt.
Treten Sie den Network World-Communitys auf Facebook und LinkedIn bei, um Kommentare zu Themen abzugeben, die im Vordergrund stehen.
