Lücke in SMB ermöglicht DOS / remote code execution in Windows
9. September 2009
Lücke in SMB ermöglicht DOS / remote code execution in Windows
Da schon sehr einfach zu bedienende Programme existieren, die die folgende Denial of Service (DOS) Schwachstelle von Windows ausnutzen können, bittet CERT.at um Beachtung der folgenden Meldung:
Microsoft hat ein paar Empfehlungen in einem Security Advisory zusammengefasst. CERT.at empfiehlt in der Zwischenzeit:
Informationsquelle(n):
Meldung des Internet Storm Centers
http://isc.sans.org/diary.html?storyid=7093
Microsoft Advisory
http://www.microsoft.com/technet/security/advisory/975497.mspx
Demoexploit
http://securitynightmares2.blogspot.com/2009_09_01_archive.html
CVE Referenz
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3103
Post auf Full-Disclosure
http://archives.neohapsis.com/archives/fulldisclosure/2009-09/0090.html
Beschreibung
Im SMB2.0 Code von Windows Vista / Windows Server 2008 / Windows 7 wurde eine Schwachstelle entdeckt, die im harmlosesten Fall einen Absturz des Betriebsystems zur Folge haben kann, im schlimmsten Fall sogar remote Code Execution erlaubt. Durch Senden eines speziell geformten Packets kann ein beliebiger Angreifer am lokalen Netzkwerk oder am Internet den Rechner zum Absturz bringen oder sogar Schadcode einschleusen. Windows Vista und Windows 7 / Server 2008 werden mit dem neuen SMB2.0 Protokoll ausgeliefert. Windows XP ist hiervon nicht betroffen.Auswirkungen
Über diesen Fehler kann potentiell beliebiger Code auf dem betroffenen Systemen ausgeführt werden. Es sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.Betroffene Systeme
- Windows Vista, Windows Vista Service Pack 1, und Windows Vista Service Pack 2
- Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, und Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems und Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems und Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for Itanium-based Systems und Windows Server 2008 for Itanium-based Systems Service Pack 2
Abhilfe
Microsoft stellt noch kein Update zur Verfügung.Microsoft hat ein paar Empfehlungen in einem Security Advisory zusammengefasst. CERT.at empfiehlt in der Zwischenzeit:
- Port 445 und Port 139 per Firewall zu sperren, soferne möglich.
- Wenn möglich SMB2 abzuschalten.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
Meldung des Internet Storm Centers
http://isc.sans.org/diary.html?storyid=7093
Microsoft Advisory
http://www.microsoft.com/technet/security/advisory/975497.mspx
Demoexploit
http://securitynightmares2.blogspot.com/2009_09_01_archive.html
CVE Referenz
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3103
Post auf Full-Disclosure
http://archives.neohapsis.com/archives/fulldisclosure/2009-09/0090.html