Deutsch | English

Lücke in SMB ermöglicht DOS / remote code execution in Windows

9. September 2009

Lücke in SMB ermöglicht DOS / remote code execution in Windows

Da schon sehr einfach zu bedienende Programme existieren, die die folgende Denial of Service (DOS) Schwachstelle von Windows ausnutzen können, bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Im SMB2.0 Code von Windows Vista / Windows Server 2008 / Windows 7 wurde eine Schwachstelle entdeckt, die im harmlosesten Fall einen Absturz des Betriebsystems zur Folge haben kann, im schlimmsten Fall sogar remote Code Execution erlaubt.

Durch Senden eines speziell geformten Packets kann ein beliebiger Angreifer am lokalen Netzkwerk oder am Internet den Rechner zum Absturz bringen oder sogar Schadcode einschleusen.

Windows Vista und Windows 7 / Server 2008 werden mit dem neuen SMB2.0 Protokoll ausgeliefert. Windows XP ist hiervon nicht betroffen.

Auswirkungen

Über diesen Fehler kann potentiell beliebiger Code auf dem betroffenen Systemen ausgeführt werden. Es sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

  • Windows Vista, Windows Vista Service Pack 1, und Windows Vista Service Pack 2
  • Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, und Windows Vista x64 Edition Service Pack 2
  • Windows Server 2008 for 32-bit Systems und Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems und Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for Itanium-based Systems und Windows Server 2008 for Itanium-based Systems Service Pack 2
Im Labor konnte die RTM (Build 7600) Version von Windows 7 nicht zum Absturz gebracht werden, Evaluationsversionen von Windows 7 allerdings schon.

Abhilfe

Microsoft stellt noch kein Update zur Verfügung.
Microsoft hat ein paar Empfehlungen in einem Security Advisory zusammengefasst.

CERT.at empfiehlt in der Zwischenzeit:

  • Port 445 und Port 139 per Firewall zu sperren, soferne möglich.
  • Wenn möglich SMB2 abzuschalten.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Meldung des Internet Storm Centers
http://isc.sans.org/diary.html?storyid=7093
Microsoft Advisory
http://www.microsoft.com/technet/security/advisory/975497.mspx
Demoexploit
http://securitynightmares2.blogspot.com/2009_09_01_archive.html
CVE Referenz
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3103
Post auf Full-Disclosure
http://archives.neohapsis.com/archives/fulldisclosure/2009-09/0090.html
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücke in Adobe Flash Player - aktiv ausgenützt - Patches verfügbar
16. Oktober 2017 | Beschreibung Adobe ...
Kritische Lücke in Microsoft Office ermöglicht Remote Code Execution
12. Oktober 2017 | ...
mehr ...
Es steht KRACK auf dem Speiseplan!
16. Oktober 2017 | Auch ...
Ein paar Thesen zu aktuellen Gesetzesentwürfen
31. Juli 2017 | Das Thema ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/7/17 - 17:00:08
Haftungsausschluss