Jetzt patchen: Exploit-Code für ältere Windows-SMBv3-Lücke veröffentlicht
Schon im März 2020 hat Microsoft ein Update für die Remote-Lücke CVE-2020-0796 alias SMBGhost veröffentlicht. Jetzt ist Proof-of-Concept-Code verfügbar.
Mitte März dieses Jahres hat Microsoft außer der Reihe ein Sicherheitsupdate für die aus der Ferne ausnutzbare, auch als "SMBGhost" bekannte Sicherheitslücke CVE-2020-0796 veröffentlicht. Die Lücke betrifft die Windows 10- und Windows Server-Versionen 1903 und 1909. Nutzer, die das Update bislang nicht eingespielt haben, sollten dies jetzt unbedingt nachholen: Bei GitHub wurde – wenn auch noch verbesserungswürdiger – Proof-of-Concept-Code zum Ausnutzen der Sicherheitslücke veröffentlicht.
Besonders gefährlich an der Lücke im SMBv3-Protokoll, über die heise online bereits im März berichtete, ist, dass durch die Möglichkeit der wurmartigen Ausbreitung ganze Netzwerke "in einem Rutsch" befallen werden könnten.
Details sowohl zur Sicherheitslücke als auch zu verfügbaren Updates und Workarounds nennt Microsofts Advisory zu CVE-2020-0796. Demnach ist Remote Code Execution mittels der Lücke zum einen möglich, indem man ein speziell präpariertes Datenpaket an einen verwundbaren SMBv3-Server schickt. Des Weiteren sind auch verwundbare Clients angreifbar, nämlich indem man sie dazu bringt, sich mit einem von einem Angreifer speziell konfigurierten SMBv3-Server zu verbinden.
Das erforderliche Update KB4551762 steht zum Download im Windows Update Catalog bereit. Bei aktiviertem Windows Update oder (je nach Konfiguration) WSUS wurde es allerdings längst auch automatisch ausgeliefert.
PoC erfolgreich getestet
Zwar ist der PoC-Code zu CVE-2020-0796 bei GitHub mit dem Hinweis versehen, dass er recht schnell zusammengeschrieben worden und noch nicht zuverlässig sei. Allerdings meldeten sich via Twitter mehrere Nutzer zu Wort, die berichteten, dass sie den Angriff reproduzieren konnten – auch wenn dem gelungenen Exploit mitunter zahlreiche Blue Screens of Death vorangingen. Dieses Verhalten des PoC-Codes hatte allerdings auch dessen Autor bereits angemerkt.
Sicherheitsforscher Troy Mursch (Bad Packets Report) will laut einem Bericht von Ars Technica außerdem massenhafte Scans nach verwundbaren Servern beobachtet haben. Auch CERT-Bund wies via Twitter nochmals auf die Gefahr und den längst verfügbaren Patch hin.
Update 08.06.20, 17:25: Update-Hinweise ergänzt. (ovw)
