Exploit für SMB2-Lücke in Windows veröffentlicht

Im Internet wurde ein voll funktionsfähiger Exploit für die Sicherheitslücke der Implementierung des SMB2-Protokolls veröffentlicht. Damit kann man verwundbare Windows-Systeme im Netz aufspüren und dann gezielt angreifen. Durch die Einbindung in das Exploit-Toolkit MetaSploit kann der Angreifer dabei sehr frei entscheiden, was dann geschehen soll: Das Spektrum reicht von einer Warnmeldung bis hin zur Einrichtung einer komfortablen Hintertür zum System.

Verwundbar sind Windows Vista, Windows Server 2008 und der Release Candidate von Windows 7 – in der finalen Version ist der Fehler behoben. Microsoft stellt für die seit knapp drei Wochen bekannte Sicherheitslücke immer noch keinen Patch bereit. Der Windows-Hersteller hat zwar eine Anleitung veröffentlicht, wie man das gefährdende SMB2-Protokoll mit einem Klick abschalten kann – das werden aber sicher nicht alle Betroffenen tun.

Bislang zirkulierten die SMB2-Exploits in eher geschlossenen Gruppen. Mit der Veröffentlichung erhält jeder Zugang zu dem Quellcode eines funktionierenden Exploits. Wozu das führen kann, zeigt eine Such-Anzeige. Auf der Code-Börse GetACoder sucht ein Unbekannter aus Singapur einen Entwickler, der ihm damit möglichst schnell ein anpassbares C/C++-Programm baut, das auf verwundbaren Systemen ein Programm aus dem Internet nachlädt und ausführt. Es ist kaum anzunehmen, dass er damit legitime Sicherheitstests durchführen will.

Wer ein betroffenes System ohne Firewall einsetzt, sollte den "1-Click-Workaround" unbedingt durchführen. Da Würmer erfahrungsgemäß auch hinter Firewalls gelangen können, empfehlen sich auch für derartig abgeschirmte Systeme vorbeugende Maßnahmen.

Siehe dazu auch:

• Microsoft liefert "1-Click-Workaround" für SMB2-Lücke auf heise Security
• Microsoft warnt vor SMB-Lücke in Windows Server 2008 und Vista auf heise Security

(ju)