Menü
Security

Lücke in Windows Vista und 7 ermöglicht Neustart aus der Ferne

Von
vorlesen Drucken Kommentare lesen 153 Beiträge

Eine Schwachstelle in Microsofts Implementierung des SMB2-Protokolls lässt sich über das Netz ausnutzen, um ein System mit Windows Vista oder Windows 7 zum Stillstand oder Neustart zu bringen. Ursache des Problems ist ein Fehler in der Verarbeitung von Client-Requests im Treiber srv2.sys, wenn im SMB2-Header das Feld "Process Id High" ein Ampersand (&, Kaufmanns-Und) enthält. Für den Angriff ist keine Authentifizierung erforderlich, es muss lediglich der Port 445 des Zielsystems erreichbar sein – was zumindest bei der Windows-Konfiguration für das lokale Netzwerk standardmäßig der Fall ist. SMB2 ist eine Erweiterung des herkömmlichen Server Message Block.

Ein in Python geschriebener Exploit ist bereits verfügbar. Im Test der heise-Security-Redaktion brachte er ein Vista-System aus der Ferne zum Neustart. Ein Windows-7-Rechner zeigte sich jedoch unbeeindruckt. Laut Bericht des Entdeckers der Lücke Laurent Gaffie soll möglicherweise aber auch Windows Server 2008 betroffen sein, da alle genannten Systeme den gleichen SMB2.0-Treiber verwenden. Windows 2000 und XP sind indes nicht betroffen, da sie SMB2 nicht unterstützen.

Ein Update von Microsoft gibt es bislang nicht. Abhilfe bringt es derzeit nur, die SMB-Ports zu schließen, indem man beispielsweise in den Ausnahmen der Firewall das Häkchen von der Datei- und Druckfreigabe entfernt.

Siehe dazu auch:

(Daniel Bachfeld) / (dab)