Einloggen auf heise online

    • News
    • heise Developer
    • heise Netze
    • heise Open Source
    • heise Security
    • c't
    • iX
    • Technology Review
    • c't Fotografie
    • Mac & i
    • Make
    • Telepolis
    • heise Autos
    • TechStage
    • tipps+tricks
    • heise Download
    • Preisvergleich
    • Whitepapers
    • Webcasts
    • Stellenmarkt
    • Karriere Netzwerk
    • Gutscheine
    • IT-Markt
    • Tarifrechner
    • Netzwerk-Tools
    • Spielen bei Heise
    • heise shop
    • heise Select
    • Artikel-Archiv
    • Zeitschriften-Abo
    • Veranstaltungen
    • Arbeiten bei Heise
    • Mediadaten
heise Security
sponsored by Logo HOB
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • Events
  • Foren
  • Kontakt
  1. Security
  2. 7-Tage-News
  3. 02/2017
  4. Zero-Day-Lücke in SMB-Bibliothek von Windows

Zero-Day-Lücke in SMB-Bibliothek von Windows Update

Alert! 03.02.2017 11:24 Uhr Dennis Schirrmacher
vorlesen
Zero-Day-Lücke in SMB-Bibliothek von Windows soll viele Versionen gefährden

(Bild: Katy Levinson, CC BY 2.0 )

Die Lücke soll sich mit wenig Aufwand ausnutzen lassen und Windows-Systeme zum Absturz bringen; potentiell könnten Angreifer auch Schadcode mit Kernel-Rechten ausführen, warnt das CERT der Carnegie Mellon University. Bislang gibt es noch keinen Patch.

Microsoft Windows kann sich an über das Netzwerkprotokoll Server Message Block (SMB) verschickten Datenverkehr verschlucken und abstürzen. Das kommt zum Einsatz, um sich etwa mit Netzwerkfreigaben zu verbinden. Im schlimmsten Fall könnten Angreifer sogar Schadcode auf Systeme schieben und mit Kernel-Rechten ausführen, warnt das renommierte CERT der Carnegie Mellon University (CMU). [UPDATE] Dieser Hinweis findet sich mittlerweile nicht mehr in der Meldung des CERT. Der Schweregrad der Lücke ist nun mit einem CVSS Base Score von 7.8/10 eingestuft. [/UPDATE]

Windows und Windows Server bedroht

Der Grund dafür ist dem Entdecker und Sicherheitsforscher mit dem Pseudonym PythonResponder zufolge eine Zero-Day-Lücke in der SMB-Bibliothek von Windows. Verschickt ein Server zu viele Bytes im Zuge der SMB2 TREE_CONNECT Response, quittiert Windows das mit einem Speicherfehler. Eine Proof-of-Concept-Demonstration ist bereits öffentlich verfügbar.

Anzeige

Von dem Sicherheitsproblem sollen Windows 8.1, 10 und Windows Server 2012, 2016 betroffen sein. Das CERT bestätigt zumindest, dass entsprechende Pakete in einem jeweils vollständig aktualisierten Windows 10 und 8.1 zu einem Absturz mit einem Black Screen of Death (BSOD) führte, der sich auf die Bibliothek mrxsmb20.sys zurückführen ließ.

Der Angriff kann von einem bösartigen Server übers Netz erfolgen, mit dem sich ein Windows-System verbinden will. Ein solcher Verbindungsversuch lässt sich etwa durch das Öffnen einer Ressource auf einem Netzwerk-Laufwerk auslösen. Der Angriff erfordert keine Anmeldung auf dem Server.

Noch kein Patch in Sicht

Microsoft hat bislang noch keine Stellung zu der Lücke bezogen; eine Antwort auf die Anfrage von heise Security steht noch aus. Wann mit einem Sicherheitsupdate zu rechnen ist, ist derzeit unklar. Um sich bis dahin abzusichern, empfiehlt das CERT, SMB zu deaktivieren oder zumindest die TCP-Ports 139 und 445 und die UDP-Ports 137 und 138 auf Firewalls zu blockieren.

[UPDATE 06.02.2017 09:30 Uhr]

Die Warnung vor einer möglichen Ausführung von Schadcode durch Angreifer ist aus der CERT-Meldung verschwunden. Dementsprechend hat das CERT den CVSS Base Score von 10/10 auf 7.8/10 korrigiert. Der Fließtext wurde entsprechend ergänzt. (des)

Kommentare lesen (186 Beiträge)

Forum zum Thema: Desktopsicherheit

https://heise.de/-3616990 Drucken
Mehr zum Thema:
DoS-Schwachstelle Exploit Microsoft Sicherheitslücken SMB Windows Windows Server Alert!
Anzeige
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
Anzeige
Alerts! alle Alert-Meldungen

Drupal (CKEditor)

Cisco-Produkte

Oracle Critical Patch Update

Update
Anzeige
Anzeige
  • 5 IT-Trends, die Sie auf dem Schirm haben sollten
  • Arbeitgeber Bewerbungen: Heise Karriere-Netzwerk
  • Wie Endgeräteschutz die IT-Sicherheit verbessert
  • Geldanlage: von Mensch und Maschine profitieren
  • DSGVO: Was nach dem 25. Mai noch zu tun ist
  • Special: DSGVO Ratgeber
  • Interessante Jobangebote - IT-Jobtag in Leipzig!
Artikel
Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Vor allem Online-Shops und soziale Netzwerke sollte neben dem Passwort noch einen zweiten Faktor zum Einloggen fordern. Eine Webseite zeigt übersichtlich an, welche Online-Services dieses Anmeldeverfahren bieten.

Lesetipp
Leben vom Verkauf geklauter Passwörter

Leben vom Verkauf geklauter Passwörter

Das Geschäft mit geleakten Login-Daten boomt: Betrüger machen damit innerhalb von wenigen Monaten mehrere 100.000 US-Dollar.

Lesetipp
Malware-Analyse - Do-It-Yourself

Malware-Analyse - Do-It-Yourself

Bauen Sie Ihre eigene Schadsoftware-Analyse-Sandbox, um schnell das Verhalten von unbekannten Dateien zu überprüfen. Dieser Artikel zeigt, wie das mit der kostenlosen Open-Source-Sandbox Cuckoo funktioniert.

Hintergrund
Neueste Forenbeiträge
  1. Re: Wenigstens leicht zu Identifizieren
    Für die schlecht umgesetzten Miner mag das gelten. Es gibt allerdings genügend Methoden sich zu verstecken.

    Forum:  Statt Erpressungstrojaner: Krypto-Miner auf dem Vormarsch

    FHSnoop hat keinen Avatar
    von FHSnoop; vor 2 Stunden
  2. Re: Google ist ja so toll!
    Googles 8.8.8.8 ist trotzdem noch standardmäßig eingestellt und da wahrscheinlich nur jeder millionste Benutzer jemals die DNS Einstellungen…

    Forum:  Android P verschlüsselt DNS-Anfragen

    Sylos hat keinen Avatar
    von Sylos; vor 15 Stunden
  3. Re: Das will ich wohl glauben!
    Hallo, ich hätte bei einer solchen App die Verwendung eines Obfuscators erwartet, der das einfache Auslesen von URLs (und vertraulichen Infos…

    Forum:  RSA Conference: Unsichere Konferenz-App leakt Teilnehmerliste

    O. v. W. hat keinen Avatar
    von O. v. W.; vor 15 Stunden
nach oben
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
  • Datenschutzhinweis
  • Impressum
  • Kontakt
  • Mediadaten
  • 2136209
  • Content Management by InterRed
  • Copyright © 2018 Heise Medien