[Warning] Kritische Sicherheitslücke in Microsoft Windows XP/Server 2003 Dateifreigaben (SMB)

Robert Waldner waldner at cert.at
Wed Feb 16 18:44:35 CET 2011


16. Februar 2011

   Potentiell Remote Code Execution - CERT.at ersucht um Beachtung der
   folgenden Meldung.

Beschreibung

   Auf der Security-Mailingliste Full Disclosure wurde ein Bug in der
   Microsoft Windows Dateifreigabe bekanntgegeben, und auch entsprechender
   Beispielcode dazu veröffentlicht.

   Die Sicherheitsdienstleister Secunia und Vupen bestätigen diese
   Lücke:
   http://secunia.com/advisories/43299
   http://www.vupen.com/english/advisories/2011/0394

Auswirkungen

   Durch Ausnutzen dieses Fehlers kann ein Angreifer bereits durch blosses
   Senden entsprechend präparierter Pakete an Windows-Rechner mit
   aktivierter Dateifreigabe diese zum Absturz bringen und möglicherweise
   auch beliebigen Code ausführen. Eine erfolgreiche Anmeldung ist hierzu
   nicht erforderlich.

   Systeme von Heim-Anwendern werden grossteils von diesem Problem nicht
   betroffen sein, da die per Default aktive Firewall Zugriffe von aussen
   auf Dateifreigaben unterbindet. Speziell gefährdet sind jedoch
   Fileserver in Firmennetzen, falls die Möglichkeit besteht, dass
   entsprechende Schadsoftware zum Beispiel via Notebook in das interne
   Netzwerk gebracht wird.

   Da der Angreifer dadurch eventuell beliebigen Code auf betroffenen
   Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie
   potentiell alle durch diese erreichbaren (etwa durch ausspionierte
   Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme
   gefährdet.
   Wir erwarten, dass entsprechende Schadsoftware bald in Umlauf gebracht
   werden wird.

Betroffene Systeme

   Laut den bisher vorliegenden Informationen sind zumindest folgende
   Versionen von Microsoft Windows betroffen:
     * Windows XP SP3
     * Windows Server 2003 SP 2

   Ob auch andere Versionen davon betroffen sind, ist noch nicht bekannt,
   wir können es jedoch nicht ausschliessen.

Abhilfe

   Ein Patch seitens Microsoft steht noch nicht zur Verfügung, daher kann
   nur versucht werden, die Auswirkungen zu begrenzen, etwa indem
   betroffene Dateiserver wo möglich durch etwa Firewalls geschützt
   werden.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Meldung bei Heise Security
   http://www.heise.de/security/meldung/Neue-Luecke-in-Windows-Dateifreigaben-1190797.html
   Blog-Eintrag von Microsoft
   http://blogs.technet.com/b/michaelkranawetter/archive/2011/02/16/microsoft-untersucht-m-246-gliche-l-252-cke-in-windows-smb.aspx



-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: This is a digitally signed message part
URL: <http://lists.cert.at/pipermail/warning/attachments/20110216/f2d2d29a/attachment.sig>


More information about the Warning mailing list