Microsoft gibt das Vorhandensein eines ungepatchten wurmfähigen Exploits in Windows 10 SMB-Servern preis

Symbol für die Lesezeit 2 Minute. lesen


Leser unterstützen MSpoweruser. Wir erhalten möglicherweise eine Provision, wenn Sie über unsere Links kaufen. Tooltip-Symbol

Lesen Sie unsere Offenlegungsseite, um herauszufinden, wie Sie MSPoweruser dabei helfen können, das Redaktionsteam zu unterstützen Mehr erfahren

Microsoft hat versehentlich das Vorhandensein eines wurmfähigen Exploits im SMBV3-Protokoll während seines Patch Tuesday-Infodumps enthüllt, ohne jedoch einen Patch für denselben Fehler zu veröffentlichen, wodurch alle neueren Installationen anfällig bleiben.

Zu den betroffenen PCs der Schwachstelle CVE-2020-0796 gehören Windows 10 v1903, Windows10 v1909, Windows Server v1903 und Windows Server v1909.

Es wird vermutet, dass Microsoft diesen Patch-Dienstag einen Patch veröffentlichen wollte, ihn aber in letzter Minute zurückgezogen hat, aber dennoch die Details des Fehlers in ihre Microsoft-API aufgenommen hat, die einige Antivirus-Anbieter entfernen und anschließend veröffentlichen. Diese API ist derzeit nicht verfügbar, und Anbieter wie Cisco Talos, die Details veröffentlicht haben, haben ihre Berichte jetzt gelöscht.

SMB ist das gleiche Protokoll, das von der Ransomware WannaCry und NotPetya ausgenutzt wird, aber zum Glück wurde bei dieser Gelegenheit kein Exploit-Code veröffentlicht.

Die vollständigen Details des Fehlers wurden nicht veröffentlicht, aber es wird davon ausgegangen, dass es sich um einen Pufferüberlauf im Microsoft SMB-Server handelt, der „… aufgrund eines Fehlers auftritt, wenn die anfällige Software ein in böser Absicht erstelltes komprimiertes Datenpaket verarbeitet“. Das Sicherheitsunternehmen Fortinet stellt fest, dass „ein entfernter, nicht authentifizierter Angreifer dies ausnutzen kann, um beliebigen Code im Kontext der Anwendung auszuführen“.

Es wurde kein Patch veröffentlicht, aber es gibt einige Abhilfemaßnahmen.

In ihrem unveröffentlichten Rat schlug Cisco Talos vor:

"Benutzer werden aufgefordert, die SMBv3-Komprimierung zu deaktivieren und den TCP-Port 445 auf Firewalls und Client-Computern zu blockieren."

Aktualisierung: Die vollständige Beratung kann jetzt bei Microsoft hier nachzulesen. Microsoft weist darauf hin, dass die obige Problemumgehung den Server, aber nicht die betroffenen Clients schützt.

Lesen Sie mehr über das Problem bei ZDNet hier.

Benutzerforum

0 Nachrichten