Microsoft released zum aktuellen Patchday eine Vielzahl von Fixes, (117 an der Zahl). 25 davon werden als kritisch eingestuft. Ein wichtiger Patch für eine Sicherheitslücke (CVE-2020-0796) in der SMBv3-Implementierung fehlt allerdings.

Gemäss Advisory von Microsoft genügt es, durch das Senden von präparierten SMB-Paketen (Windows File Share as. CIFS) Schadcode aus der Ferne auszuführen, was z. B. zum Einschleusen von Malware benutzt werden könnte.

Betroffen sind Systeme mit Windows 10-Kern 1903 und höher sowie Server (Core gem. Advisory) Version 1903 und höher.

Wie erwähnt gibt es aktuell noch keinen Patch. Microsoft beschreibt allerdings einen Workaround in der Zwischenzeit (gem. unten) für die Serverseite. Für Clients gibt es noch keinen Schutz.

Folgende Massnahmen können helfen die Angriffsfläche zu verringern:

  • Sicherstellen, dass die SMB-Schnittstelle nur aus der „Trusted-Zone“ (siehe Netzwerkzonierung) erreichbar ist. Auf keinen Fall Zugang aus dem Internet oder einer Netzwerkzone mit unbekannten Geräten zulassen. Dies trifft insbesondere Systeme, welche SMB anbieten müssen und erhöhte Rechte besitzen (z. B. Domain Controller).
  • Sicherstellen, dass der Share-Zugriff unterbunden wird, sofern nicht benötigt (z. B. Windows Firewall Regel für CIFS deaktivieren resp. sperren). Dies insbesondere bei Clients (Admin-Share).
  • Sicherstellen, dass der Patch bei Erscheinen zügig auf allen Systemen installiert wird.

 

Update: Patch veröffentlicht, 12.03.2020

Microsoft hat ein entsprechendes Sicherheitsupdate herausgegeben, welches die Sicherheitslücke adressiert. Die zugehörigen Links für einen Direktdownload sind im Advisory enthalten (siehe unten). Das Update wird ebenfalls über WSUS verteilt.

Wir empfehlen vor der Installation die Know Issues hinsichtlich Windows Server containers zu prüfen.

Update: Detaillierte Analyse und POC aufgetaucht, 13.03.2020

Zur Lücke wurden weitere Details bekannt, unter anderem eine detaillierte Analyse der Schwachstelle sowie ein Video von POC-Code, welcher die Lücke aktiv ausnutzt.

Aufgrund der Datenlage zur Lücke kann davon ausgegangen werden, dass in kurzer Zeit Exploits zum Ausnutzen der Lücke verfügbar sein werden. Es empfiehlt sich daher umso mehr einsetzten Systeme zeitnahe zu patchen.

Diese Beiträge könnten dich auch interessieren
Security Advisory: SMBBleed-Schwachstelle (CVE-2020-1206) in Windows 10

Eine Sicherheitslücke (CVE-2020-1206) im SMB-Protokoll (SMBBleed) ermöglicht es Schadcode aus der Ferne auf Windows 10 1903 und 1909 auszuführen. Zum Ausnutzen der Lücke genügt es, dass ein Angreifer den entsprechenden Rechner auf Port TCP/445 erreicht. Sie basiert erneut auf einem …

Weiterlesen >

Security Advisory: Mai-Patchday von Microsoft adressiert über 100 Sicherheitslücken

Mit dem aktuellen Mai-Patchday schliesst Microsoft über 100 Sicherheitslücken. Davon sind 16 als kritisch eingestuft. Einige der als kritisch eingestuften Lücken finden sich in den Browsern Edge und Internet Explorer und ermöglichen es durch reines ansurfen einer präparierten Website Schadcode …

Weiterlesen >

Security Advisory: FortiMail-/FortiVoiceEnterprise-Schwachstelle (CVE-2020-9294)

Eine Sicherheitslücke (CVE-2020-9294) ermöglicht es Dritten, sich ohne Authentisierung über die Password-Change-Funktion Zugang zum System zu verschaffen. Betroffen sind Systeme resp. folgende Versionen: FortiMail versions 5.4.10 and below. FortiMail versions 6.0.7 and below. FortiMail versions 6.2.2 and below. FortiVoiceEntreprise versions …

Weiterlesen >

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.