Microsoft warnt vor SMB-Lücke in Windows Server 2008 und Vista
Die Lücke lässt sich nach neuesten Erkenntnissen auch zum Einschleusen und Starten von Code aus der Ferne missbrauchen. Ein Update gibt es nicht, Microsoft schlägt aber Workarounds vor.
- Daniel Bachfeld
Microsoft hat die gestern gemeldete Sicherheitslücke in der Implementierung des SMB2-Protokolls bestätigt und setzt sogar noch eins drauf: Offenbar lässt sich der Fehler auch zum Einschleusen und Ausführen von Code missbrauchen. Erste Hinweise darauf lieferte der Sicherheitsspezialist und Reverse Engineer Ruben Santamarta nach einer näheren Analyse des von Laurent Gaffié veröffentlichten Exploits.
Der bislang verfügbare Exploit bringt ein verwundbares System jedoch nur zum Absturz oder zum Neustart. Dafür muss allerdings der Port 445 erreichbar sein, was üblicherweise nur im lokalen Netz der Fall ist.
Betroffen sind nach Angaben der Redmonder Windows Vista und Server 2008. Während der Release Candidate von Windows Server 2008 R2 nicht betroffen ist, ist der Fehler aber im Release Candidate von Windows 7 zu finden. Die finale Version von Windows 7 ist nicht anfällig. Windows XP und Windows 2000 und Server 2003 unterstützen SMB2 nicht und sind daher auch nicht verwundbar.
Einen Patch gibt es aktuell von Microsoft noch nicht. Als Workaround schlägt der Softwarekonzern vor, SMB2 in der Registry zu deaktivieren oder die Ports 139 und 445 mit der integrierten Firewall zu blockieren. Letzteres kann aber dazu führen, dass einige Dienste nicht mehr funktionieren. Eine Anleitung für die Workarounds ist im Fehlerbericht von Microsoft zu finden.
Siehe dazu auch:
- Vulnerabilities in SMB Could Allow Remote Code Execution, Bericht von Microsoft
- Lücke in Windows Vista und 7 ermöglicht Neustart aus der Ferne, Meldung auf heisec
(dab)
