Lücke in Windows Vista und 7 ermöglicht Neustart aus der Ferne
Eine Schwachstelle in Microsofts Implementierung des SMB2-Protokolls lässt sich von Angreifern über das Netz ausnutzen, um ein System mit Windows Vista oder Windows 7 zum Stillstand oder Neustart zu bringen.
- Daniel Bachfeld
Eine Schwachstelle in Microsofts Implementierung des SMB2-Protokolls lässt sich über das Netz ausnutzen, um ein System mit Windows Vista oder Windows 7 zum Stillstand oder Neustart zu bringen. Ursache des Problems ist ein Fehler in der Verarbeitung von Client-Requests im Treiber srv2.sys, wenn im SMB2-Header das Feld "Process Id High" ein Ampersand (&, Kaufmanns-Und) enthält. Für den Angriff ist keine Authentifizierung erforderlich, es muss lediglich der Port 445 des Zielsystems erreichbar sein – was zumindest bei der Windows-Konfiguration für das lokale Netzwerk standardmäßig der Fall ist. SMB2 ist eine Erweiterung des herkömmlichen Server Message Block.
Ein in Python geschriebener Exploit ist bereits verfügbar. Im Test der heise-Security-Redaktion brachte er ein Vista-System aus der Ferne zum Neustart. Ein Windows-7-Rechner zeigte sich jedoch unbeeindruckt. Laut Bericht des Entdeckers der Lücke Laurent Gaffie soll möglicherweise aber auch Windows Server 2008 betroffen sein, da alle genannten Systeme den gleichen SMB2.0-Treiber verwenden. Windows 2000 und XP sind indes nicht betroffen, da sie SMB2 nicht unterstützen.
Ein Update von Microsoft gibt es bislang nicht. Abhilfe bringt es derzeit nur, die SMB-Ports zu schließen, indem man beispielsweise in den Ausnahmen der Firewall das Häkchen von der Datei- und Druckfreigabe entfernt.
Siehe dazu auch:
- Windows Vista/7 : SMB2.0 NEGOTIATE PROTOCOL REQUEST Remote B.S.O.D., Fehlerbericht von Laurent Gaffie
(dab)
