[Warning] Kritische Sicherheitslücke in Microsoft Windows XP/Server 2003 Dateifreigaben (SMB)
Robert Waldner
waldner at cert.at
Wed Feb 16 18:44:35 CET 2011
16. Februar 2011
Potentiell Remote Code Execution - CERT.at ersucht um Beachtung der
folgenden Meldung.
Beschreibung
Auf der Security-Mailingliste Full Disclosure wurde ein Bug in der
Microsoft Windows Dateifreigabe bekanntgegeben, und auch entsprechender
Beispielcode dazu veröffentlicht.
Die Sicherheitsdienstleister Secunia und Vupen bestätigen diese
Lücke:
http://secunia.com/advisories/43299
http://www.vupen.com/english/advisories/2011/0394
Auswirkungen
Durch Ausnutzen dieses Fehlers kann ein Angreifer bereits durch blosses
Senden entsprechend präparierter Pakete an Windows-Rechner mit
aktivierter Dateifreigabe diese zum Absturz bringen und möglicherweise
auch beliebigen Code ausführen. Eine erfolgreiche Anmeldung ist hierzu
nicht erforderlich.
Systeme von Heim-Anwendern werden grossteils von diesem Problem nicht
betroffen sein, da die per Default aktive Firewall Zugriffe von aussen
auf Dateifreigaben unterbindet. Speziell gefährdet sind jedoch
Fileserver in Firmennetzen, falls die Möglichkeit besteht, dass
entsprechende Schadsoftware zum Beispiel via Notebook in das interne
Netzwerk gebracht wird.
Da der Angreifer dadurch eventuell beliebigen Code auf betroffenen
Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie
potentiell alle durch diese erreichbaren (etwa durch ausspionierte
Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme
gefährdet.
Wir erwarten, dass entsprechende Schadsoftware bald in Umlauf gebracht
werden wird.
Betroffene Systeme
Laut den bisher vorliegenden Informationen sind zumindest folgende
Versionen von Microsoft Windows betroffen:
* Windows XP SP3
* Windows Server 2003 SP 2
Ob auch andere Versionen davon betroffen sind, ist noch nicht bekannt,
wir können es jedoch nicht ausschliessen.
Abhilfe
Ein Patch seitens Microsoft steht noch nicht zur Verfügung, daher kann
nur versucht werden, die Auswirkungen zu begrenzen, etwa indem
betroffene Dateiserver wo möglich durch etwa Firewalls geschützt
werden.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Meldung bei Heise Security
http://www.heise.de/security/meldung/Neue-Luecke-in-Windows-Dateifreigaben-1190797.html
Blog-Eintrag von Microsoft
http://blogs.technet.com/b/michaelkranawetter/archive/2011/02/16/microsoft-untersucht-m-246-gliche-l-252-cke-in-windows-smb.aspx
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: This is a digitally signed message part
URL: <http://lists.cert.at/pipermail/warning/attachments/20110216/f2d2d29a/attachment.sig>
More information about the Warning
mailing list