SMB-Lücke SMBloris in Windows bleibt ungepatcht

[English]Eine 20 Jahre alte Sicherheitslücke in Windows ermöglicht Maschinen über das SMB-Protokoll anzugreifen und lahm zu legen. Microsoft will diese Sicherheitslücke nicht schließen.


Anzeige

Die SMBloris getaufte Sicherheitslücke wurde durch die Sicherheitsforscher Sean Dillon (Twitter: @zerosum0x0) und Jenna Magius (Twitter: @jennamagius) im Juni 2017 entdeckt. Inzwischen ist ein Proof of concept auf Github veröffentlicht, welches einem Angreifer per Internet mittels des SMB-Protokolls die Aufnahme von Verbindungen ohne Authentifizierung ermöglicht.

Bei jeder Verbindung wird RAM auf der Zielmaschine allokiert. Öffnet ein Angreifer tausende Verbindungen, kann er das Zielsystem, wegen Speichermangel, zum Einfrieren oder Abstürzen bringen. Die Sicherheitslücke lässt sich bei allen SMB-Implementierungen von Windows (SMBv1, SMBv2, SMBv3) ausnutzen. Das gilt auch für alle Versionen, von Windows 2000 bis Windows 10.

Voraussetzung für den Angriff ist aber, dass das Windows-Systems den Port Port 445 für Internetzugriffe freigibt (dann hilft auch kein Abschalten von SMB). Unter Linux können Admins die Option max smbd processes = 1000 in der Samba smb.conf config-Datei setzen. Dies verhindert, dass Angreifer eine beliebige Anzahl an SMB-Verbindungen gleichzeitig zum Samba Server öffnen.

Der Name SMBLoris resultiert aus der 2009 von Sicherheitsforschern bei Web-Servern entdeckten Slowloris-Lücke. Dort ließen sich Web-Server über eine Vielzahl an Verbindungen angreifen, bis die Bandbreite oder der Speicher belegt war. Es ließen sich DDoS-Angriffe fahren. Bei SMBLoris werden die gleichen Mechanismen genutzt, wobei das SMB- anstelle des HTTP-Protokolls verwendet wird.

Microsoft will diese Lücke im Server Message Block (SMB) Protokoll von Windows nicht patchen. Ein Sprecher erklärte gegenüber Threatpost:

"The case offers no serious security implications and we do not plan to address it with a security update. For enterprise customers who may be concerned, we recommend they consider blocking access from the internet to SMBv1."

Microsoft sieht also keine wirkliche Sicherheitsproblematik, da es ein Konfigurationsfehler ist, wenn Dateifreigaben per Internet über das SMB verfügbar ist. Unternehmen sollen schlicht die SMB-Zugriffe per Internet blockieren.

Details lassen sich im Kaspersky Threatpost-Artike, in diesem rapid7.com Community-Artikel oder bei  Bleeping Computer nachlesen. Der Angriff wurde auf der Def Con demonstriert (siehe folgendes Video).


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu SMB-Lücke SMBloris in Windows bleibt ungepatcht

  1. Lakota sagt:

    Genauso wie mit der "MFT"-Lücke. Die wurde ebenfalls noch nicht gebugfixt! (Jedenfalls unter Win 7 und Win 8).

    https://www.der-windows-papst.de/2017/05/27/ntfs-mft-bug-legt-windows-7-und-windows-8-lahm/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.