[English]In Windows gibt es eine gravierende, aber ungepatchte Schwachstelle im SMBv3-Protokoll. Diese könnte die Verbreitung von Würmern ermöglichen, wird aktuell aber wohl noch nicht ausgenutzt. Microsoft hat die Information gestern in einem Sicherheitshinweis gegeben.
Anzeige
Ich habe das Ganze bereits die Nacht per Mail von Microsoft in Form des Sicherheitshinweises ADV200005 erhalten:
Security Advisories Released or Updated on March 10, 2020
=============================================
* Microsoft Security Advisory ADV200005
– ADV200005 | Microsoft Guidance for Disabling SMBv3 Compression
– Reason for Revision: Information published.
– Originally posted: March 10, 2020
– Updated: N/A
– Version 1.0
Die Schwachstelle wird auch als SMBGhost bezeichnet, weil sie wohl jeder bereits kennt, die Veröffentlichung aber ungeplant war.
Details zur Schwachstelle CVE-2020-0796
In der Microsoft-Implementierung des SMBv3-Protokolls gibt eine Schwachstelle (CVE-2020-0796) in der Handhabung der Kompression. Diese Schwachstelle ermöglicht einem Remote-Angreifer die Ausführung von beliebigem Code auf einem verwundbaren System, ohne dass eine Anmeldung erforderlich ist. Das ist das 'wormable' Szenario, welches Malware die Ausbreitung über ein Netzwerk ermöglicht. Diese wurde von Tenable gefunden und an Microsoft gemeldet. Tenable bezeichnet die Schwachstelle als EternalDarkness. Betroffen sind laut Tenable folgende Windows-Versionen:
- Windows Server Version 1903 (Server Core Installation)
- Windows Server Version 1909 (Server Core Installation)
- Windows 10 Version 1903 for 32-bit Systems
- Windows 10 Version 1903 for ARM64-based Systems
- Windows 10 Version 1903 for x64-based Systems
- Windows 10 Version 1909 for 32-bit Systems
- Windows 10 Version 1909 for ARM64-based Systems
- Windows 10 Version 1909 for x64-based Systems
Das Ganze betrifft die Implementierung von Microsoft Server Message Block 3.1.1 (SMBv3). Microsoft schreibt dazu, dass man sich der Schwachstelle bei der Remotecodeausführung bewusst sei. Die Schwachstelle besteht darin, wie das Microsoft Server Message Block 3.1.1 (SMBv3)-Protokoll bestimmte Anfragen behandelt. Ein Angreifer, der die Schwachstelle erfolgreich ausnutzt, könnte die Fähigkeit erlangen, Code auf dem SMB-Zielserver oder SMB-Client auszuführen.
Um die Schwachstelle gegen einen SMB-Server auszunutzen, müsste ein nicht authentifizierter Angreifer ein speziell präpariertes Paket an einen SMBv3-Zielserver senden. Um die Schwachstelle gegenüber einem SMB-Client auszunutzen, müsste ein nicht authentifizierter Angreifer einen bösartigen SMBv3-Server konfigurieren und einen Benutzer dazu bringen, eine Verbindung zu diesem zu erstellen.
Unklar ist mir die Aufteilung in SMBv3-Server und -Client, denn jede SMB-Freigabe führt dazu, dass ein Windows 10-Client als 'Server' für SMBv3-Anfragen fungiert. Hier hält sich Microsoft aber bedeckt.
Kein Update für die Schwachstelle verfügbar
Bisher steht von Microsoft noch kein Update zum Schließen der SMBv3-Schwachstelle zur Verfügung. Am gestrigen Patchday (10.3.2020) wurde das Problem jedenfalls nicht adressiert.
Anzeige
Ein Workaround
Von Microsoft wird aktuell in ADV200005 als Workaround nur das Abschalten der Kompression im SMBv3-Protokoll vorgeschlagen. Hierzu ist auf dem SMBv3-Server eine administrative Eingabeaufforderung zu öffnen und folgende PowerShell-Anweisung einzugeben:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
Dieser Befehl erfordert keinen Neustart des Servers. Es sei aber angemerkt, dass dieser Workaround nicht die Ausnutzung der Schwachstelle auf SMBv3-Clients verhindert.
Um den Workaround später rückgängig zu machen, ist folgende PowerShell-Anweisung in einer administrativen Eingabeaufforderung einzugeben.
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force
Für Administratoren in Unternehmensumgebungen noch ein Tipp. In diesem Beitrag stellt jemand PowerShell-Scripte vor, um das Ganze auf mehreren Hosts zu deaktivieren.
An dieser Stelle noch einige Ergänzungen gegenüber dem Microsoft Advisory. Ich gehe davon aus, dass man den obigen PowerShell-Befehl auch auf Windows 10-Clients verwenden kann, um die SMBv3-Kompression temporär zu deaktivieren. Sobald ein Patch wieder verfügbar ist, sollte die die Komprimierung (aus Effizienzgründen) wieder zugelassen werden. In obigem PowerShell-Befehl wird der Workaround durch Setzen des Registry-Werts 0 wieder rückgängig gemacht. Hier verweise ich auf diese Diskussion bei heise, dass ein Löschen eventuell besser wäre.
Microsoft schlägt in in ADV200005 zudem vor, den TCP-Port 445 in der Firewall zu blockieren. Dieser Port wird verwendet, um eine Verbindung mit der betroffenen Komponente zu initiieren. Die Blockierung dieses Ports an der Firewall des Netzwerkperimeters (Übergang zwischen dem Unternehmensnetzwerk und dem Internet) trägt dazu bei, Systeme, die sich hinter dieser Firewall befinden, vor Versuchen zu schützen, diese Schwachstelle per Internet auszunutzen. Dies kann dazu beitragen, Netzwerke vor Angriffen zu schützen, die ihren Ursprung außerhalb des Unternehmensnetzwerks haben.
Das Blockieren der betroffenen Ports in der Firewall ist die beste Verteidigung, um internetbasierte Angriffe zu vermeiden. Allerdings könnten Systeme immer noch anfällig für Angriffe aus dem Unternehmensnetzwerk heraus sein. Ist ein Server oder ein Client über das Internet erreichbar, könnten Angreifer über diese Stelle dann auf das Unternehmensnetzwerk zugreifen.
Ergänzung:Es gibt ein Sicherheitsupdate zum Schließen der Schwachstelle, siehe Windows 10: Patch für SMBv3-Schwachstelle CVE-2020-0796).
Ähnliche Artikel:
Microsoft empfiehlt SMBv1 bei Exchange zu deaktivieren
SMBv1-FAQ und Windows-Netzwerke
Samba 4.11 deaktiviert SMBv1 und unterstützt SMBv2
Windows 10: SMBv1-Klippen in Version 1803
Windows 10 V1803: SMBv1-Fix mit Update KB4284848
2015
Wird hier Windows 7/Server 2008 nur nicht mehr aufgeführt (weil nicht mehr supportet) oder sind diese Versionen davon nicht betroffen? Ich weiß, SMB >3 = mind. Server 2012
AFAIK hat Windows Server 2008 und Vista SMBv2, Windows Server 2008 R2 und Windows 7 SMBv2.1, also haben diese kein SMBv3 Protokoll.
SMBv3 kam mit Windows 8 und Server 2012 und SMBv3.0.2 mit 8.1 und 2012 R2. Ab Win 10 bzw. Server 2016 ist es SMBv3.1.1
Neben der Antwort des Vorposters: Imho sind nicht aufgeführte Windows-Varianten nicht betroffen, weil.
a) Windows 7/Server 2008/R2 weiter im ESU-Support sind
b) Windows 8.1/Server 2012 R2 ja noch im Support sind
Beide Zweige werden aber weder bei Microsoft noch bei Tenable erwähnt – ergo wird es da das Problem nicht geben. Mag mich aber täuschen.
Wie interpretiert Ihr
Windows Server Version 1903 (Server Core Installation)
Windows Server Version 1909 (Server Core Installation
Sind damit alle Windows 2019 / 2016 Server in den Versionen 1903 / 1907
in der Core Installationsvariante gemeint?
Wie verhält es sich zum Beispiel mit Servern die nicht als Core sonder in der Desktopvariante installiert wurden oder z.B. die ältere LTSC Version des Windows 2016 Servers 1607 die noch im Support ist? Diese dürften ja dann nicht betroffen sein oder?
Hat ein wenig gedauert, bis ich selber drauf gekommen bin: Die Windows Server im Semi-Annual Channel gibt es nur in der Core-Variante. Daher gibt es auch keine betroffenen Server 1903 oder 1909 als Desktop-Variante.
Bezüglich der betroffenen OS' herrscht Unklarheit.
SMB Compression – wer kann das?
Der SMB Dialect 3.1.1 wird von Win10 und Server 2016 aufwärts an gesprochen. Ich denke, die sind auch betroffen in jedem Release und eben nicht nur 1903 und höher.
sehe ich genauso :)
Das betroffene Feature Compression wurde in der Version 1903 eingeführt. Daher sind frühere Versionen von Windows nicht betroffen, da diese kein Compression unterstützen.
Klaus, kannst Du das belegen? Ich wäre für einen Link dankbar, aus dem das eindeutig hervorgeht.
FAQ unten in adv200005:
[..]
3. Are older versions of Windows (other than what is listed in the Security Updates table) affected by this vulnerability?
No, the vulnerability exists in a new feature that was added to Windows 10 version 1903. Older versions of Windows do not support SMBv3.1.1 compression.
[..]
Einmal hier:
https://interopevents.blob.core.windows.net/uploads/PDFs/2019/Redmond/Talpey-SMB3doc-19H1-DevDays%20Redmond%202019.pdf
Und dann hier in der Spezifikation:
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb2/5606ad47-5ee0-437a-817e-70c366052962
In der Anmerkung zu Section 2.2.3.1 steht in dem aktuellen Dokument: Windows 10 v1809 operating system and prior, Windows Server v1809 operating system and prior, and Windows Server 2019 and prior do not send or process SMB2_COMPRESSION_CAPABILITIES.
Ah, sehr schön.
Danke!
Was muss ein normaler benutzer mit nur einem Desktop unter Windows 10 Home 1909 tun?
Nichts
Wenn ein Windows 10 Pro 1909 Client eine SMB Freigabe hat, müssen dann auch die vorgeschlagenen Einstellungen vorgenommen werden?
Es müsste auch dort geändert werden, da der Windows 10-Client in diesem Fall ja als Server fungiert. Microsoft hat sich in seinem Advisory wieder bezüglich der obigen PowerShell-Anweisungen unklar ausgedrückt – die schreiben von Servern. Du kannst ja schauen, ob es auf einem Win 10-Client funktioniert.
anstatt mich auf jedem Server separat anzumelden (oder ein Skript zu schreiben, das über alle Server iteriert…):
das Setzen über GPO müsste doch eigentlich auch funktionieren, oder?
Hat das schon jemand probiert?
Hallo Günter,
ich lese deine Seite sehr gerne muss nun aber auch mal eine Frage stellen.
Ich habe ein kleines Netz mit 3 Rechnern (Windows 10 Pro), 2 Druckern und einem NAS (Synology DS218+). Die Rechner haben alle Zugriff auf verschiedene Ordner des NAS und sehen sich auch gegenseitig im Netzwerk. Ein externer Zugriff ist nicht eingerichtet. Auf den Rechnern und auch dem NAS nicht.
Muss ich hier nun aktiv werden?
Eine Antwort wäre sehr nett.
Danke.
Robert
Solange das Zeugs nicht per Internet erreichbar ist und Du Malware-frei bleibst, kannst Du auf einen Patch warten. Die obigen Aktionen richten sich eher an Firmen-Administratoren, die größere Netzwerke betreiben.
Lieber Günter,
früher habe ich das Wort Server auch immer auf ein Komplettes system bezogen.
Server standen in einem Raum waren gross und bestanden auch aus Serverhardware + Server Betriebsystem.
Ein Server ist jedoch einfach nur ein Programm das Dienste (im Netzwerk) anbietet.
Meine Erfahrung ist, wenn man auf dieser Ebene liest und denkt, passen viele Dokumentationen besser ins Gehirn.
KB4551762 soll das Loch stopfen.
https://support.microsoft.com/de-de/help/4551762/windows-10-update-kb4551762
Es kam gerade übers Windows Update.
https://abload.de/image.php?img=kb4551762l1jkz.jpg
Den Herunterladen Button kriegt man bei getakteter Verbindung zu sehen.
Danke, ist im Blog-Beitrag hier beschrieben.
Danke. Ich habe den Screenshot bei abload gelöscht, weil er im neuen Blog-Beitrag eingebunden wurde.