CERT-EU warnt vor SMBv3-Schwachstelle CVE-2022-24508, Fix durch Windows März 2022-Updates

Sicherheit (Pexels, allgemeine Nutzung)[English]Mit den Sicherheitsupdates vom 8. März 2022 für Windows hat Microsoft eine Reihe Schwachstellen geschlossen. Darunter ist auch eine als wichtig eingestufte Remote Code Execution-Schwachstelle (REC) im Windows SMBv3 Client/Server. CERT-EU warnt in einer aktuellen Mitteilung vor dieser SMBv3-Schwachstelle CVE-2022-24508 und empfiehlt die zeitnahe Installation der Updates oder die Anwendung von Maßnahmen, um die Ausnutzung der Schwachstelle zu verhindern. Glücklicherweise benötigt die Ausnutzung eine Authentifizierung durch den Angreifer und eine Ausnutzung in freier Wildbahn ist bisher auch nicht bekannt.


Anzeige

SMBv3-Schwachstelle CVE-2022-24508

Ich bin über nachfolgenden Tweet auf die Warnung des CERT-EU vor der SMBv3-Schwachstelle CVE-2022-24508 aufmerksam geworden. CERT-EU beschreibt die Details in diesem Beitrag.

SMBv3-Schwachstelle CVE-2022-24508

Die Schwachstelle CVE-2022-24508 in der SMBv3-Komprimierung ermöglicht authentifizierten Angreifern eine Remote Code Ausführung über die betreffenden Clients oder Server. Betroffen sind alle Windows-Versionen ab der 2004:

  • Windows 10 Version 20H2
  • Windows 10 Version 21H1
  • Windows 10 Version 21H2
  • Windows 11
  • Windows Server 2022
  • Windows Server 2022 (Server Core installation)
  • Windows Server 2022 Azure Edition Core Hotpatch

Laut Microsoft sind bisher keine Angriffe auf diese Schwachstelle bekannt geworden. Details über diese Schwachstelle wurden bisher keine veröffentlicht. Die Empfehlung des CERT-EU ist es, diese Schwachstelle zeitnah zu entschärfen.

Updaten oder Workaround anwenden

Microsoft hat zum 8. März 2022 Sicherheitsupdates für die betreffenden Windows-Versionen veröffentlicht, die die Schwachstelle CVE-2022-24508 im SMBv3-Client/Server-Implementierung beheben sollen. Die Updates wurden in den nachfolgenden Blog-Beiträgen beschrieben.

Patchday: Windows 10-Updates (8. März 2022)
Patchday: Windows 11/Server 2022-Updates (8. März 2022)

Bei Windows Server 2022 besteht u.U. das Problem, das nach der Update-Installation diverse Rollen für Remote-Desktop-Gateways nicht mehr vorhanden sind bzw. funktionieren. Ich hatte die Details im Blog-Beitrag Windows Server 2022: März 2022-Update KB5011497 verursacht Probleme mit Remote-Desktop-Rollen/-Verbindungen beschrieben.

Glücklicherweise sind ältere Windows-Versionen nicht betroffen und der Angreifer müsste authentifiziert sein, um die Schwachstelle auszunutzen. Wer das Update wegen der oben genannten oder anderer Probleme nicht zeitnah installieren kann, sollte die von Microsoft im Artikel zur Schwachstelle CVE-2022-24508 beschriebenen Workarounds anwenden:


Anzeige

  • Deaktivieren der SMBv3-Komprimierung
  • Blockieren des TCP-Ports 445 an der Firewall des Unternehmens gegenüber externen Zugriffen

Der Microsoft-Beitrag nennt folgenden PowerShell-Befehl zum

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

zum Deaktivieren der SMBv3-Komprimierung auf einem SMBv3-Server. Nach der Änderung ist kein Neustart erforderlich.

Achtung: Diese Problemumgehung verhindert nicht die Ausnutzung der Schwachstelle auf SMB-Clients. Hier hat Microsoft diesen Beitrag mit Hinweisen veröffentlicht.

Ähnliche Artikel:
Microsoft Security Update Summary (8. März 2022)
Patchday: Windows 10-Updates (8. März 2022)
Patchday: Windows 11/Server 2022-Updates (8. März 2022)
Windows 7/Server 2008R2; Windows 8.1/Server 2012R2: Updates (8. März 2022)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu CERT-EU warnt vor SMBv3-Schwachstelle CVE-2022-24508, Fix durch Windows März 2022-Updates

  1. Jonas sagt:

    "Blockieren des TCP-Ports 445 an der Firewall des Unternehmens gegenüber externen Zugriffen" –> Prost Mahlzeit, wer diesen Port einfach so im Internet veröffentlicht, sollte gleich in die Autovermietungsbranche umsteigen ;- )

    • Olli sagt:

      Dann steigen für alle aber die KFZ-Versicherungsprämien…

    • Michael Uray sagt:

      Ich wurde damals bei WannaCry (auch SMB Lücke) von einem Bekannten zu Hilfe gerufen, dessen Server (Kleinunternehmen mit 2-3 MA) verschlüsselt wurde.

      Nach etwas suchen wie der Befall denn überhaupt stattgefunden hat habe ich dann festgestellt, dass dessen Internet-Router eine DMZ/Exposed Host konfiguriert hatte, welche auf den Server zeigte.
      Am Server waren Firewall und auch die automatischen Updates deaktiviert, es war mit diesem Setup also eigentlich nur eine Frage der Zeit, bis so etwas passierte.
      Eingerichtet wurde das damals alles so von seinem Cousin, welcher IT/EDV eigentlich beruflich betreibt. – Man kann sich nur sehr wundern bei so etwas, aber es kommt wirklich vor.

  2. Torsten sagt:

    das kommt mir alles so bekannt vor:
    2020 gab es schonmal eine SMBv3 Schwachstelle in der Komprimierung, mit dem selben Workaround: https://www.borncity.com/blog/2020/03/11/windows-smbv3-0-day-schwachstelle-cve-2020-0796/

Schreibe einen Kommentar zu Sixt Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.