[Warning] Warnung: Lücke in SMB ermöglicht DOS / remote code execution in Windows

L. Aaron Kaplan kaplan at cert.at
Wed Sep 9 17:40:19 CEST 2009


 Lücke in SMB ermöglicht DOS / remote code execution in Windows

   Da schon sehr einfach zu bedienende Programme existieren, die die
   folgende Denial of Service (DOS) Schwachstelle von Windows ausnutzen
   können, bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

   Im SMB2 [1] Code von Windows Vista / Windows Server 2008 / Windows 7
   wurde eine Schwachstelle entdeckt, die im harmlosesten Fall einen
   Absturz des Betriebsystems zur Folge haben kann, im schlimmsten Fall
   sogar remote Code Execution erlaubt.

   Durch Senden eines speziell geformten Packets kann ein beliebiger
   Angreifer am lokalen Netzkwerk oder am Internet den Rechner zum Absturz
   bringen oder sogar Schadcode einschleusen.

   Windows Vista und Windows 7 / Server 2008 werden mit dem neuen SMB2.0
   Protokoll ausgeliefert. Windows XP ist hiervon nicht betroffen.

Auswirkungen

   Über diesen Fehler kann potentiell beliebiger Code auf dem betroffenen
   Systemen ausgeführt werden. Es sind alle Daten auf diesen Systemen,
   sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN
   etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

     * Windows Vista, Windows Vista Service Pack 1, und Windows Vista
       Service Pack 2
     * Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack
       1, und Windows Vista x64 Edition Service Pack 2
     * Windows Server 2008 for 32-bit Systems und Windows Server 2008 for
       32-bit Systems Service Pack 2
     * Windows Server 2008 for x64-based Systems und Windows Server 2008
       for x64-based Systems Service Pack 2
     * Windows Server 2008 for Itanium-based Systems und Windows Server
       2008 for Itanium-based Systems Service Pack 2

   Im Labor konnte die RTM (Build 7600) Version von Windows 7 nicht zum
   Absturz gebracht werden, Evaluationsversionen von Windows 7 allerdings
   schon.

Abhilfe

   Microsoft stellt noch kein Update zur Verfügung.
   Microsoft hat ein paar Empfehlungen in einem Security Advisory [2]
   zusammengefasst.

   CERT.at empfiehlt in der Zwischenzeit:
     * Port 445 und Port 139 per Firewall zu sperren, soferne möglich.
     * Wenn möglich SMB2 abzuschalten.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.

PS: Jeden zweiten Dienstag im Monat ist Patchday von Microsoft.
Gestern gabe es recht viele kritische Updates (unabhaengig von
obigem Problem)!
     __________________________________________________________________


References

   1. http://en.wikipedia.org/wiki/Server_Message_Block
   2. http://www.microsoft.com/technet/security/advisory/975497.mspx
   3. http://isc.sans.org/diary.html?storyid=7093
   4. http://www.microsoft.com/technet/security/advisory/975497.mspx
   5. http://securitynightmares2.blogspot.com/2009_09_01_archive.html
   6. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3103
   7.
http://archives.neohapsis.com/archives/fulldisclosure/2009-09/0090.html

-- 
Leon Aaron Kaplan
nic.at / cert.at
kaplan at cert.at
Tel: +43 1 505 6416 / 46


-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 260 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20090909/f866069b/attachment.sig>


More information about the Warning mailing list