[Warning] Kritische Lücke in Microsoft Windows ermöglicht DoS / Remote Code Execution via SMB - noch keine Updates verfügbar

Robert Waldner waldner at cert.at
Fri Feb 3 13:34:31 CET 2017 

3. Februar 2017

   Wie das CERT der Carnegie Mellon University (CERT/CC) berichtet,
   gibt es aktuell eine schwerwiegende Lücke in der SMB-Implementation
   von Microsoft Windows.

Beschreibung

   Im SMB-Code von Microsoft Windows wurde eine Schwachstelle entdeckt,
   die im harmlosesten Fall einen Absturz des Betriebsystems zur Folge
   haben kann, im schlimmsten Fall sogar Remote Code Execution erlaubt.

   Durch Senden spezieller übergrosser Pakete kann ein Angreifer mit
   Kontrolle über einen Windows-Fileserver verbundene Clients zum
   Absturz bringen oder sogar Schadcode einschleusen. Da es relativ
   einfach ist, Windows-Clients dazu zu bringen, sich zu externen
   Fileservern zu verbinden (etwa durch Einbetten entsprechender Links
   in Spam-Mails oder auf Webseiten), ist zu erwarten dass sich
   Angreifer bald auf diese Lücke konzentrieren werden -
   Proof-of-concept - Code ist bereits öffentlich verfügbar.

   CVSS Base Score (laut CERT/CC): 10.0

Auswirkungen

   Über diesen Fehler kann potentiell beliebiger Code auf dem
   betroffenen Systemen ausgeführt werden. Es sind alle Daten auf
   diesen Systemen, sowie potentiell alle durch diese erreichbaren
   (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

   CERT/CC konnte das Problem auf folgenden Versionen von Windows
   nachvollziehen:
     * Microsoft Windows 8.1
     * Microsoft Windows 10

   Es ist zu erwarten, dass auch die entsprechenden Server-Versionen von
   Windows und eventuell auch ältere Versionen wie Windows 7 / Windows 8
   betroffen sind.

Abhilfe

   Es stehen noch keine Updates zur Verfügung.

   Wir empfehlen, SMB-Verbindungen ins Internet auf Firewalls etc. zu
   blockieren (zumindest Ports 137-139 und 445, sicherheitshalber für
   TCP und UDP). Sollten solche Verbindungen bewusst genutzt werden,
   raten wir dies nur über VPN-Lösungen und ähnliches zuzulassen.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, für alle Arten von
   Browser-Plugins (Flash, Java, ...) auf die
   "Click-to-play"-Funktionalitäten von Internet-Browsern
   zurückzugreifen, sowie parallel Firewall-Software aktiv und den
   Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Meldung des Carnegie Mellon Univerity CERT (englisch)
   https://www.kb.cert.org/vuls/id/867968
   Artikel bei Heise Security

https://www.heise.de/security/meldung/Zero-Day-Luecke-in-SMB-Bibliothek-von-Windows-3616990.html


-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20170203/7df4f503/attachment.sig>

More information about the Warning mailing list