Am 13. März aktualisiert
Es wurde eine CVE-2020-0796 RCE Schwachstelle in Windows 10 und Windows Server Betriebssystemen entdeckt, die Auswirkungen auf das SMBv3-Protokoll (Microsoft Server Message Block 3.1.1) hat. Laut Microsoft kann ein Angreifer diese Schwachstelle ausnutzen, um arbiträre Codes auf der Seite des SMB-Servers oder SMB-Clients auszuführen. Um den Server anzugreifen, kann einfach ein speziell erstelltes Paket an diesen gesendet werden. Für den Client müssen Angreifer einen böswilligen SMBv3-Server konfigurieren und einen Benutzer davon überzeugen, eine Verbindung zu ihm herzustellen.
Cybersicherheitsexperten glauben, dass die Sicherheitsanfälligkeit genutzt werden kann, um ein WannaCry-ähnliches Schadprogramm auszuführen. Microsoft stuft die Sicherheitsanfälligkeit als kritisch ein, daher sollten Sie diese so schnell wie möglich schließen.
Wer ist in Gefahr?
SMB ist ein Netzwerkprotokoll für den Remotezugriff auf Dateien, Drucker und andere Netzwerkressourcen. Es wird verwendet, um Netzwerk-, Datei- und Druckerfreigabefunktionen von Microsoft Windows zu implementieren. Wenn Ihr Unternehmen diese Funktionen nutzt, haben Sie Grund zur Sorge.
Microsoft Server Message Block 3.1.1 ist ein relativ neues Protokoll, das nur in neuen Betriebssystemen verwendet wird:
- Windows 10 Version 1903 für 32-Bit-Systeme
- Windows 10 Version 1903 für ARM64-basierte Systeme
- Windows 10 Version 1903 für x64-basierte Systeme
- Windows 10 Version 1909 für 32-Bit-Systeme
- Windows 10 Version 1909 für ARM64-basierte Systeme
- Windows 10 Version 1909 für x64-basierte Systeme
- Windows Server, Version 1903 (Server Core-Installation)
- Windows Server, Version 1909 (Server Core-Installation)
Die Schwachstelle betrifft nicht Windows 7, 8, 8.1 oder ältere Versionen. Auf den meisten modernen Computern mit automatischer Updateinstallation wird jedoch Windows 10 ausgeführt. Daher ist es wahrscheinlich, dass viele Computer, sowohl zu Hause als auch in Unternehmen, anfällig sind.
Nutzen Angreifer CVE-2020-0796 aus?
Laut Microsoft wurde die Schwachstelle CVE-2020-0796 noch nicht nachweisbar für Angriffe verwendet. Das Problem ist jedoch, dass noch kein Patch für CVE-2020-0796 vorhanden ist. Mittlerweile sind Informationen über die Schwachstelle seit dem 10. März öffentlich zugänglich, sodass Exploits jede Minute auftauchen können, sofern dies noch nicht geschehen ist.
Wie sollte man sich verhalten?
Update vom 13. März: Microsoft hat ein Sicherheitsupdate für diese Schwachstelle veröffentlich. Laden Sie es hier herunter.
Da kein Patch verfügbar ist, sollten Sie die Sicherheitsanfälligkeit schnellstmöglich schließen. Dies erfordert Umwege. Microsoft bietet Folgendes an, um den Exploit dieser Schwachstelle zu blockieren.
Für SMB-Server:
- Sie können den Exploit einer Schwachstelle mit einem PowerShell-Befehl blockieren:
Set-ItemProperty -Path „HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters“ DisableCompression -Type DWORD -Value 1 –Force
Für SMB-Clients:
- Wie bei WannaCry schlägt Microsoft vor, den TCP-Port 445 der Enterprise-Perimeter-Firewall zu blockieren.
Stellen Sie außerdem sicher, dass Sie eine zuverlässige Sicherheitslösung wie Kaspersky Endpoint Security for Business verwenden. Unter anderem wird ein Subsystem zur Prävention von Exploits verwendet, das Endgeräte schützt, auch vor unbekannten Schwachstellen.