zurück zum Artikel

SMBloris füllt kompletten Arbeitsspeicher

Server

(Bild: dpa, Ole Spata)

Das Protokoll SMB in Windows ist in allen Versionen anfällig für eine Denial-of-Service-Attacke. Ein einzelner Angreifer kann den Arbeitsspeicher eines Servers zum Überlaufen bringen. Microsoft schließt einen Patch aus.

Mit nur 20 Zeilen Python-Code haben Sicherheitsforscher von RiskSense eine Denial-of-Service-Attacke gegen das SMB-Protokoll geschrieben und das Verfahren im Rahmen der DefCon vorgestellt. Ziel von SMBloris[1] ist es, das angegriffene System durch Füllen des Arbeitsspeichers zum Absturz zu bringen.

Das Prinzip ist verhältnismäßig einfach und funktioniert nach Aussagen der Forscher für alle Windows- und SMB-Versionen. Ein einzelner Angreifer eröffnet SMB-Sitzungen auf einem Server, der SMB-Freigaben bereitstellt. Dabei werden dem Server für jede Verbindung große Buffer angekündigt, die nie gesendet werden. Windows reserviert den Arbeitsspeicher und wartet auf die Daten.

Für den Angreifer ist das Eröffnen beliebig vieler Verbindungen nicht belastend – für die Attacke reicht ein einzelner Raspberry Pi. Auf dem Server dagegen lassen sich schnell bis zu 128 GB Arbeitsspeicher füllen. Bis zum Neustart ist das System damit außer Gefecht.

Die RiskSense-Forscher gaben Microsoft 60 Tage Zeit, bevor sie die Methode im Rahmen der DefCon-Konferenz vorstellten. Gegenüber Threatpost äußerte sich der Hersteller und schloss einen Patch aus. Demnach handele es sich bei übers Internet veröffentlichten SMB-Freigaben um einen Konfigurationsfehler. Administratoren wird geraten, diese Verbindungen in der Firewall zu blockieren und nur im lokalen Netz bereitzustellen.

Benannt ist der Angriff in Anlehnung an die Denial-of-Service-Attacke Slowloris[2], die 2009 veröffentlicht wurde und Webserver zum Absturz brachte. (jam[3])


URL dieses Artikels:
http://www.heise.de/-3788252

Links in diesem Artikel:
[1] https://threatpost.com/windows-smb-zero-day-to-be-disclosed-during-def-con/126927/
[2] https://www.heise.de/meldung/Remote-Handbremse-fuer-Webserver-183318.html
[3] mailto:jam@ct.de