Microsoft kann schwerwiegendes Windows Server-Problem nicht patchen, Exploit jetzt auf GitHub verfügbar

Microsoft hat es versäumt, einen Fix für eine schwerwiegende Schwachstelle in Windows Server zu veröffentlichen, obwohl es vor 3 Monaten gewarnt wurde.

Der Exploit wurde nun vom Sicherheitsforscher auf GitHub veröffentlicht, was dazu führte, dass US-CERT-Serveradministratoren warnten, ausgehende SMB-Verbindungen zu blockieren.

Die Schwachstelle ist ein Speicherbeschädigungsfehler bei der Verarbeitung von SMB-Datenverkehr, der es einem entfernten, nicht authentifizierten Angreifer ermöglichen kann, auf einem anfälligen System einen Denial-of-Service zu verursachen.

Hinweise des US CERT:

„Microsoft Windows verarbeitet den Datenverkehr von einem bösartigen Server nicht ordnungsgemäß. Insbesondere kann Windows eine speziell gestaltete Serverantwort nicht ordnungsgemäß verarbeiten, die zu viele Bytes enthält, die der in der SMB2 TREE_CONNECT-Antwortstruktur definierten Struktur folgen.

„Durch die Verbindung mit einem böswilligen SMB-Server kann ein anfälliges Windows-Clientsystem in mrxsmb20.sys abstürzen (BSOD). Wir haben den Absturz mit vollständig gepatchten Windows 10- und Windows 8.1-Clientsystemen sowie den Serveräquivalenten dieser Plattformen, Windows Server 2016 und Windows Server 2012 R2, bestätigt.“

Der Sicherheitsforscher Laurent Gaffie hat den Proof-of-Concept-Exploit mit dem Namen Win10.py vor fünf Tagen auf Github veröffentlicht, und Microsoft hat bisher noch nicht reagiert.

In Ermangelung einer Antwort empfiehlt US CERT Administratoren, ausgehende SMB-Verbindungen – TCP-Ports 139 und 445 zusammen mit UDP-Ports 137 und 138 – vom lokalen Netzwerk zum WAN zu blockieren.