Zero-Day-Lücke in SMB-Bibliothek von Windows

Die Lücke soll sich mit wenig Aufwand ausnutzen lassen und Windows-Systeme zum Absturz bringen; potentiell könnten Angreifer auch Schadcode mit Kernel-Rechten ausführen, warnt das CERT der Carnegie Mellon University. Bislang gibt es noch keinen Patch.

Microsoft Windows kann sich an über das Netzwerkprotokoll Server Message Block (SMB) verschickten Datenverkehr verschlucken und abstürzen. Das kommt zum Einsatz, um sich etwa mit Netzwerkfreigaben zu verbinden. Im schlimmsten Fall könnten Angreifer sogar Schadcode auf Systeme schieben und mit Kernel-Rechten ausführen, warnt das renommierte CERT der Carnegie Mellon University (CMU). [UPDATE] Dieser Hinweis findet sich mittlerweile nicht mehr in der Meldung des CERT. Der Schweregrad der Lücke ist nun mit einem CVSS Base Score von 7.8/10 eingestuft. [/UPDATE]

Windows und Windows Server bedroht

Der Grund dafür ist dem Entdecker und Sicherheitsforscher mit dem Pseudonym PythonResponder zufolge eine Zero-Day-Lücke in der SMB-Bibliothek von Windows. Verschickt ein Server zu viele Bytes im Zuge der SMB2 TREE_CONNECT Response, quittiert Windows das mit einem Speicherfehler. Eine Proof-of-Concept-Demonstration ist bereits öffentlich verfügbar.

Von dem Sicherheitsproblem sollen Windows 8.1, 10 und Windows Server 2012, 2016 betroffen sein. Das CERT bestätigt zumindest, dass entsprechende Pakete in einem jeweils vollständig aktualisierten Windows 10 und 8.1 zu einem Absturz mit einem Black Screen of Death (BSOD) führte, der sich auf die Bibliothek mrxsmb20.sys zurückführen ließ.

Der Angriff kann von einem bösartigen Server übers Netz erfolgen, mit dem sich ein Windows-System verbinden will. Ein solcher Verbindungsversuch lässt sich etwa durch das Öffnen einer Ressource auf einem Netzwerk-Laufwerk auslösen. Der Angriff erfordert keine Anmeldung auf dem Server.

Noch kein Patch in Sicht

Microsoft hat bislang noch keine Stellung zu der Lücke bezogen; eine Antwort auf die Anfrage von heise Security steht noch aus. Wann mit einem Sicherheitsupdate zu rechnen ist, ist derzeit unklar. Um sich bis dahin abzusichern, empfiehlt das CERT, SMB zu deaktivieren oder zumindest die TCP-Ports 139 und 445 und die UDP-Ports 137 und 138 auf Firewalls zu blockieren.

[UPDATE 06.02.2017 09:30 Uhr]

Die Warnung vor einer möglichen Ausführung von Schadcode durch Angreifer ist aus der CERT-Meldung verschwunden. Dementsprechend hat das CERT den CVSS Base Score von 10/10 auf 7.8/10 korrigiert. Der Fließtext wurde entsprechend ergänzt. (des)