Windows 10: PoC für SMBGhost-Schwachstelle

Publiziert am 6. Juni 2020 von Günter Born

[English]Benutzer von Windows 10-Systemen sollten diese patchen, denn inzwischen ist ein Proof of Concept (PoC) für die SMBGhost-Schwachstelle öffentlich geworden.

Anzeige

Die SMBGhost-Schwachstelle CVE-2020-0796

In der Microsoft-Implementierung des SMBv3-Protokolls gibt eine Schwachstelle (CVE-2020-0796) in der Handhabung der Kompression. Diese Schwachstelle ermöglicht einem Remote-Angreifer die Ausführung von beliebigem Code auf einem verwundbaren System, ohne dass eine Anmeldung erforderlich ist. Ich hatte den obigen Sachverhalt zeitnah im Blog-Beitrag Windows SMBv3 0-day-Schwachstelle CVE-2020-0796 angesprochen.

Das ist das 'wormable' Szenario, welches Malware die Ausbreitung über ein Netzwerk ermöglicht. Diese wurde von Tenable gefunden und an Microsoft gemeldet. Tenable bezeichnet die Schwachstelle als EternalDarkness. Die SMBGhost-Schwachstelle CVE-2020-0796 wurde im März 2020 durch ein Security-Advisory ADV200005 (Microsoft Guidance for Disabling SMBv3 Compression) öffentlich bekannt. Die Offenlegung erfolgte, weil Microsoft im März 2020 zum regulären Patchday keine Sicherheits-Updates zum Schließen dieser Schwachstelle bereitstellen konnte.

Es gibt einen Patch, der Probleme macht

Zum 12. März 2020 hat Microsoft dann ein außerplanmäßiges Sicherheitsupdate KB4551762 für die SMBv3-Schwachstelle CVE-2020-0796 für folgende Windows-Versionen:

  • Windows Server Version 1903 (Server Core Installation)
  • Windows Server Version 1909 (Server Core Installation)
  • Windows 10 Version 1903 for 32-bit Systems
  • Windows 10 Version 1903 for ARM64-based Systems
  • Windows 10 Version 1903 for x64-based Systems
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows 10 Version 1909 for x64-based Systems

freigegeben (siehe auch den Beitrag Windows 10: Patch KB4551762 für SMBv3-Schwachstelle CVE-2020-0796).

Das Problem ist, dass dieses Update bei einigen Nutzern Installationsfehler auslöst. Ich hatte im Blog-Beitrag Windows 10: Fehler 0x800f0988/0x800f0900 bei KB4551762 auf solche Probleme hingewiesen. Bleeping Computer hat weitere Fehler in diesem Artikel gesammelt. Ein Abriss ist im Blog-Beitrag Aktuelles zur Windows SMBv3-Schwachstelle SMBGhost zu finden.

Proof of Concept, patchen erforderlich

Wer die SMBGhost-Schwachstelle CVE-2020-0796 auf betroffenen Maschinen noch nicht durch ein Update geschlossen hat, sollte nun unbedingt reagieren. Denn es ist eine Frage der Zeit, dass die (zahlreichen) ungepatchten Maschinen durch Cyber-Kriminelle über diese Schwachstelle angegriffen werden.

Obigem Tweet von Bleeping Computer und dem zugehörigen Artikel entnehme ich, dass es in der Vergangenheit bereits Versuche (1, 2) gab, die Schwachstelle für Trojaner auszunutzen. Ein Sicherheitsforscher hat nun aber auf GitHub ein Proof of Concept SMBGhost_RCE_PoC veröffentlicht, mit dem man die Schwachstelle ausnutzen kann. Der Exploit beruht auf einem physischen Lese-Primitiv, sagte der Sicherheitsforscher gegenüber BleepingComputer. Mit dem PoC-Code sollte dieses interessante Primitiv demonstriert werden. Meist gibt es zwar BlueScreens (BSOD) – aber der Forscher sagt, dass dieses Primitiv möglicherweise eine leichtere Ausnutzung künftiger Fehler bei der Speicherverfälschung in KMU ermöglicht. Im Moment wird ein Informationsleck für die entfernte Ausnutzung benötigt. Das Primitive würde jedoch eine weniger komplizierte Methode erlauben. Sicherheitsforscher Will Dormann hat den PoC getestet und unterschiedliche Resultate erhalten – es ist als noch kein fool proof-Ansatz.

Anzeige

Aber es gibt Hinweise von weiteren Sicherheitsforschern, dass der PoC mit Modifikationen funktioniert. Zwischen den Zeilen des Bleeping Computer-Beitrags lese ich auch, dass entsprechende Informationen in den kommenden Tagen veröffentlicht werden dürften. Das Ganze ist daher eine Erinnerung, dass Administratoren sich um einen Patch kümmern (sofern noch nicht geschehen) müssen – oder alternativ die SMBv3 Compression deaktivieren sollten. Weitere Details sind dem zugehörigen Artikel von Bleeping Computer zu entnehmen.

Ähnliche Artikel:
Windows SMBv3 0-day-Schwachstelle CVE-2020-0796 
Windows 10: Patch KB4551762 für SMBv3-Schwachstelle CVE-2020-0796
Scanner für Windows SMBv3-Schwachstelle CVE-2020-0796
Aktuelles zur Windows SMBv3-Schwachstelle SMBGhost 
Windows 10: Fehler 0x800f0988/0x800f0900 bei KB4551762

Microsoft empfiehlt SMBv1 bei Exchange zu deaktivieren
SMBv1-FAQ und Windows-Netzwerke
Samba 4.11 deaktiviert SMBv1 und unterstützt SMBv2
Windows 10: SMBv1-Klippen in Version 1803
Windows 10 V1803: SMBv1-Fix mit Update KB4284848

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Windows 10 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.