SMBv3-Lücke in Windows: BSI rät dringend dazu, Server via Workaround abzusichern

Aktuelle Windows-Versionen sind über eine kritische Sicherheitslücke (CVE-2020-0796) im SMBv3-Protokoll attackierbar. Setzen Angreifer an der Schwachstelle an, könnten sie ohne Authentifizierung aus der Ferne Schadcode ausführen und so die Kontrolle über Computer erlangen.

Da es noch keinen Patch gibt, müssen Admins umgehend reagieren und einen Workaround befolgen, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer aktuellen Pressemitteilung.

[Update 12.03.20, 17:53]:

Achtung: Mittlerweile steht ein Patch bereit, so dass zumindest die Informationen zum Workaround aus dieser Meldung (weitgehend) obsolet sind. Microsoft rät stattdessen, betroffene Systeme zügig zu aktualisieren.

Sie finden die neue Meldung mit Update-Hinweisen hier:

• Achtung: Sicherheitspatch gegen kritische SMBv3-Lücke jetzt verfügbar

[/Update]

Bedroht sind Windows 10 SAC (Semi-Annual Channel) 1903 und 1909 (32/64 Bit und ARM64) und Windows Server 1903 und 1909. Windows 10 LTSC (Long Term Servicing Channel) 2016 und 2019 sowie Windows Server LTSC 2016 und 2019 sind von der Schwachstelle nicht betroffen. SMB ist tief in Windows verankert und das Netzprotokoll ermöglicht unter anderem den Dateizugriff via Netzwerkfreigaben und macht Drucker im Netzwerk verfügbar.

Hohe Gefahrenstufe

Besonders gefährlich an der Lücke ist, dass nicht nur aus dem Internet erreichbare Computer gefährdet sind. Durch die Möglichkeit der wurmartigen Ausbreitung könnten ganze Netzwerke in einem Rutsch befallen werden.

Dass Windows-Computer nicht öffentlich erreichbar sein sollten, sollte eigentlich selbstverständlich sein. Gelangt nun aber auf einem anderen Weg, etwa über eine betrügerische Mail nebst Dateianhang, eine SMBv3-Payload auf Computer, dient dieser quasi als Sprungbrett und Schadcode breitet sich davon ausgehend flächendeckend im Firmennetzwerk aus. 2017 nahmen die Erpressungstrojaner WannaCry und NotPetya über eine wurmartige Ausbreitung ganze Unternehmen in den Würgegriff.

Jetzt Clients und Server absichern

Derzeit ist unklar, wann Microsoft Sicherheitsupdates veröffentlicht. Bis dahin sollten Admins Windows-Server dringend über einen in einer Meldung von Microsoft beschriebenen Workaround absichern. Damit deaktiviert man die Komprimierung von SMBv3 und von Angreifern versendete präparierte Pakete prallen ab. Für Clients funktioniert diese Vorgehensweise jedoch nicht und Admins sollten SMBv3 bis zum Erscheinen von Patches deaktivieren. Wie das funktioniert, beschreibt Microsoft in einem Beitrag. Auch das Blockieren von Verbindungen auf dem von SMB genutzten TCP-Port 445 sollte obligatorisch sein.

[UPDATE, 12.03.2020 15:10 Uhr]

Hinweis auf TCP-Port ergänzt. (des)