[Warning] Warnung: Lücke in SMB ermöglicht DOS / remote code execution in Windows
L. Aaron Kaplan
kaplan at cert.at
Wed Sep 9 17:40:19 CEST 2009
Lücke in SMB ermöglicht DOS / remote code execution in Windows
Da schon sehr einfach zu bedienende Programme existieren, die die
folgende Denial of Service (DOS) Schwachstelle von Windows ausnutzen
können, bittet CERT.at um Beachtung der folgenden Meldung:
Beschreibung
Im SMB2 [1] Code von Windows Vista / Windows Server 2008 / Windows 7
wurde eine Schwachstelle entdeckt, die im harmlosesten Fall einen
Absturz des Betriebsystems zur Folge haben kann, im schlimmsten Fall
sogar remote Code Execution erlaubt.
Durch Senden eines speziell geformten Packets kann ein beliebiger
Angreifer am lokalen Netzkwerk oder am Internet den Rechner zum Absturz
bringen oder sogar Schadcode einschleusen.
Windows Vista und Windows 7 / Server 2008 werden mit dem neuen SMB2.0
Protokoll ausgeliefert. Windows XP ist hiervon nicht betroffen.
Auswirkungen
Über diesen Fehler kann potentiell beliebiger Code auf dem betroffenen
Systemen ausgeführt werden. Es sind alle Daten auf diesen Systemen,
sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN
etc.) Daten und anderen Systeme gefährdet.
Betroffene Systeme
* Windows Vista, Windows Vista Service Pack 1, und Windows Vista
Service Pack 2
* Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack
1, und Windows Vista x64 Edition Service Pack 2
* Windows Server 2008 for 32-bit Systems und Windows Server 2008 for
32-bit Systems Service Pack 2
* Windows Server 2008 for x64-based Systems und Windows Server 2008
for x64-based Systems Service Pack 2
* Windows Server 2008 for Itanium-based Systems und Windows Server
2008 for Itanium-based Systems Service Pack 2
Im Labor konnte die RTM (Build 7600) Version von Windows 7 nicht zum
Absturz gebracht werden, Evaluationsversionen von Windows 7 allerdings
schon.
Abhilfe
Microsoft stellt noch kein Update zur Verfügung.
Microsoft hat ein paar Empfehlungen in einem Security Advisory [2]
zusammengefasst.
CERT.at empfiehlt in der Zwischenzeit:
* Port 445 und Port 139 per Firewall zu sperren, soferne möglich.
* Wenn möglich SMB2 abzuschalten.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
PS: Jeden zweiten Dienstag im Monat ist Patchday von Microsoft.
Gestern gabe es recht viele kritische Updates (unabhaengig von
obigem Problem)!
__________________________________________________________________
References
1. http://en.wikipedia.org/wiki/Server_Message_Block
2. http://www.microsoft.com/technet/security/advisory/975497.mspx
3. http://isc.sans.org/diary.html?storyid=7093
4. http://www.microsoft.com/technet/security/advisory/975497.mspx
5. http://securitynightmares2.blogspot.com/2009_09_01_archive.html
6. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3103
7.
http://archives.neohapsis.com/archives/fulldisclosure/2009-09/0090.html
--
Leon Aaron Kaplan
nic.at / cert.at
kaplan at cert.at
Tel: +43 1 505 6416 / 46
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 260 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20090909/f866069b/attachment.sig>
More information about the Warning
mailing list