DoS-Schwachstelle im SMB-Client von Windows 7 und Server 2008 R2
Ein Fehler in der Implementierung des SMB-Protokolls in den neuesten Windows-Versionen führt zum Absturz des Systems. Dazu genügt der Kontakt mit einem präparierten Server, was allerdings schon ungewollt beim Surfen mit dem IE passieren kann.
- Daniel Bachfeld
Ein Fehler in der Implementierung des SMB-Clients von Windows 7 und Windows Server 2008 R2 lässt sich ausnutzen, um das System aus der Ferne komplett einfrieren zu lassen. Dazu genügt es, dass der Client einen präparierten SMB-Server aufruft. Durch fehlerhafte Antworten des Servers mit zu kurzen NetBIOS-Headern gerät der SMB-Client in eine Endlosschleife, in dessen Folge Windows nicht mehr reagiert. Der Fehler lässt sich nach bisherigen Erkenntnissen aber nicht zum Kompromittieren eines Systems ausnutzen.
Um Opfer eines erfolgreichen DoS-Angriffs zu werden, muss der Anwender nicht zwangsläufig manuell mit dem bösartigen Server Kontakt aufnehmen. Die Verbindung dorthin lässt sich beispielsweise mit dem Internet Explorer initiieren, wenn dieser eine HTML-Seite mit einem entsprechenden Link verarbeitet. Der Angriff ist auch nicht auf das LAN beschränkt, sofern die Firewall oder der Paketfilter SMB-Pakete passieren lässt.
Der Entdecker der DoS-Schwachstelle Laurent Gaffié hat einen in Python geschriebenen Server-Exploit veröffentlicht, der das Problem demonstriert. Im Test der heise-Security-Redaktion blieb ein Windows-7-Rechner beim Aufruf des Servers abrupt stehen und konnte nur durch das Trennen von der Stromversorgung aus seiner Lage befreit werden.
Nach Angaben von Laurent Gaffié hätte Microsoft im Rahmen seines Security Development Lifecycles den Fehler selbst entdecken müssen. Einen Patch gibt es noch nicht. Gaffié hat Microsoft aber auch erst am 8. November informiert. Die Redmonder haben die Lücke bestätigt. Eine sinnvolle Empfehlung für den Schutz vor derartigen DoS-Attacken gibt Gaffié nicht. Um sich zumindest vor Antwort-Paketen von präparierten SMB-Servern im Internet zu schützen, könnte man alle SMB-Ports auf der Firewall blocken, also 139 und 445.
Der Ablaufplan der Veröffentlichung des Problems enthält allerdings noch einen seltsamen Eintrag. Demnach habe das Microsoft Security Response Center Gaffié versucht zu überzeugen, dass ein "multi-vendor-ipv6 bug" nicht in einem Security Bulletin auftauchen sollte. Ob damit gemeint ist, dass möglicherweise doch andere Produkte betroffen sind, ist unklar. Eine Anfrage an Gaffié blieb bislang unbeantwortet.
Erst im Oktober musste Microsoft eine kritische Lücke in der Implementierung des SMBv2-Protokolls in Windows Vista und Server 2008 R2 schließen. Im Nachhinein wurde bekannt, dass der Hersteller den Fehler schon länger kannte und ihn (heimlich) noch rechtzeitig in der finalen Versiion von Windows 7 Microsoft beheben konnte.
Siehe dazu auch:
- Windows 7/Server 2008R2 Remote Kernel Crash, Bericht von Laurent Gaffié
- SMB2-Lücke offenbar schon länger bei Microsoft bekannt