Windows 10: SMBleed-Schwachstelle im SMBv3-Protokoll

[English]Im Server Message Block 3.1.1 (SMBv3) Protokoll von Windows 10/Server Core wurde erneut eine kritische Schwachstelle entdeckt, die Zugriff auf den Kernelspeicher ermöglicht. Es gibt aber Updates und Workarounds.


Anzeige

Alte SMBGhost (SMBv3)-Schwachstelle

Ich hatte hier im Blog ja mehrfach über eine Schwachstelle SMBGhost berichtet (siehe Links am Artikelende). In der Microsoft-Implementierung des SMBv3-Protokolls gibt eine Schwachstelle (CVE-2020-0796) in der Handhabung der SMB-Dekomprimierung. Diese Schwachstelle ermöglicht einem Remote-Angreifer die Ausführung von beliebigem Code auf einem verwundbaren System, ohne dass eine Anmeldung erforderlich ist. Die Schwachstelle SMBGhost (CVE-2020-0796) im Kompressionsmechanismus von SMBv3.1.1 wurde vor etwa drei Monaten behoben.

Neue SMBv3-Schwachstelle

Als Sicherheitsforscher von Zeops Funktionen diese SMBGhost-Schwachstelle untersuchten, stießen Sie auf eine neue Schwachstelle in der Microsoft-Implementierung des SMBv3-Protokolls (v3.1.1 compression). Die Forscher bezeichnen die kritische Schwachstelle CVE-2020-1206 als SMBleed.

SMBleed steckt in der gleichen Funktion (Srv2DecompressData-Funktion in der  srv2.sys) wie SMBGhost. Der Fehler ermöglicht es einem Angreifer, nicht initialisierten Kernel-Speicher zu lesen. Die Details lassen sich in der Analyse der Sicherheitsforscher nachlesen. Möglicherweise lassen sich auch RCE-Angriffe ausführen.

Windows 10 Clients und Server Core betroffen

Am 9. Juni 2020 hat Microsoft das Security Advisory CVE-2020-1206 (Windows SMBv3 Client/Server Information Disclosure Vulnerability) herausgegeben.

Eine Information Disclosure Vulnerability (Schwachstelle zur Offenlegung von Informationen) existiert in der Implementierung des Microsoft Server Message Block 3.1.1 (SMBv3)-Protokolls bei bestimmten Anfragen. Ein Angreifer, der die Schwachstelle erfolgreich ausnutzt, könnte Informationen erhalten, um das System des Benutzers weiter zu kompromittieren.

Um die Schwachstelle gegen einen Server auszunutzen, könnte ein nicht authentifizierter Angreifer ein speziell präpariertes Paket an einen gezielten SMBv3-Server senden. Um die Schwachstelle gegen einen Client auszunutzen, müsste ein nicht authentifizierter Angreifer einen bösartigen SMBv3-Server konfigurieren und einen Benutzer davon überzeugen, eine Verbindung zu ihm herzustellen.

SMBleed betrifft die Windows 10 Versionen 1903, 1909 und 2004 sowie die Server Core-Installationen von Windows Server Versionen 1903, 1909 und 2004. Ältere Versionen von Windows bieten keine Unterstützung für SMBv3.1.1-Komprimierung und sind daher von SMBleed nicht betroffen.

Sicherheitsupdates KB4557957 und KB4560960

Zum Schließen der Schwachstelle hat Microsoft am 9.6.2020 die Sicherheitsupdates KB4557957 (Windows 10 Version 2004) und KB4560960 (Windows 10 Version 190x) freigegeben. Die Updates stehen auch für die Server Core-Pendants zur Verfügung (siehe CVE-2020-1206).

Da ZecOps ein Proof of Concepts freigegeben hat, sollte dringend gepatcht werden – der Fehler wird als kritisch eingestuft. Als Workaround für Kunden, die die Sicherheitsupdates (KB4560960 und KB4557957) nicht sofort anwenden können, empfiehlt Microsoft, die SMBv3-Komprimierung mit diesem PowerShell (Admin)-Befehl zu deaktivieren:


Anzeige

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Es ist kein Neustart erforderlich. Der Befehl deaktiviert die Komprimierung. Unternehmenskunden wird außerdem empfohlen, den TCP-Port 445 an der Perimeter-Firewall des Unternehmens zu blockieren, um Angriffe auf die Schwachsetlle zu verhindern.

Ähnliche Artikel:
Windows SMBv3 0-day-Schwachstelle CVE-2020-0796
Windows 10: Patch KB4551762 für SMBv3-Schwachstelle CVE-2020-0796
Scanner für Windows SMBv3-Schwachstelle CVE-2020-0796
Aktuelles zur Windows SMBv3-Schwachstelle SMBGhost
Windows 10: PoC für SMBGhost-Schwachstelle


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu Windows 10: SMBleed-Schwachstelle im SMBv3-Protokoll

  1. O Dietrich sagt:

    Guten Morgen, hat noch jemand Probleme mit dem drucken, nach dem gestrigen Update? Drucker wird erkannt und Auftrag in die Druckerwarteschlange überführt jedoch sofort gelöscht ohne Ausdruck.

    Scannen geht, Testseite gestartet am Drucker ebenfalls. Standard Maßnahmen helfen nicht.

    MfG

  2. Chris sagt:

    Nicht speziell mit dem aktuellen Update, aber in den letzten Monaten hatte ich vereinzelte Win 10 Pro (1909) Clients (ca. 5-6 von fast 400) bei den man zeitversetzt gar nicht mehr drucken konnte. (inkl. Fehlermeldung)

    Erst war der Verdacht es liegt am Druckertreiber, dann stellte wir aber fest das gar kein Druck mehr am dem PC geht (auch kein PDF Druck über Word, Adobe oder PDF24), es also nicht am Drucker, sondern an Windows selber liegt. Die üblichen Windows Reparaturmaßnahmen wie sfc/scannow und co. waren nicht erfolgreich.

    Die einzige Lösung bisher, das Setup nochmal über den PC laufen lassen.

    • 1ST1 sagt:

      Ich hatte das auch mal, schon irgendwann Anafang des Jahres. Bei mir half, die Drucker in Geräte und Drucker zu löschen und nochmal neu einzurichten.

  3. GPBurth sagt:

    " wird außerdem empfohlen, den TCP-Port 445 an der Perimeter-Firewall des Unternehmens zu blockieren"

    Gibt es *irgendjemanden*, der diesen Port (am "Besten" noch global) an der Perimeterfirewall freigeschaltet hat? Das ist doch weder aus- noch eingehend erlaubt – oder?

    • 1ST1 sagt:

      Wer jeden PC im Unternehmensnetzwerk auf allen Ports in das Internet heraus erlaubt, macht sowieso was falsch. Das gehört sich so nicht. Gesurft wird ausschließlich über einen Proxy, idealerweise mit Authentifizierung und einer Antiviren-Lösung, die den Datenverkehr durchscannt, und dazu auch HTTPS Verkehr aufbrechen kann. Wenn ein Admin das nicht so macht, hat er seinen Job verfehlt. Sorry, dass ich das so hart ausdrücken muss.

Schreibe einen Kommentar zu Bernard Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.