SMB-Lücke bestätigt, jedoch keine Remote Code Execution möglich


Microsoft konnte die zuvor öffentlich gemachte Schwachstelle
in Windows SMB (Server Message Block) nachvollziehen. Wie die erste
Untersuchung in einer 32bit-Umgebung zeigt, kann die Lücke nicht zum Ausführen
von beliebigem Code aus der Ferne (Remote Code Execution, RCE) missbraucht
werden. Die Kollegen in den USA untersuchen nach wie vor, ob RCE auf einer
64bit-Plattform möglich ist. Die Wahrscheinlichkeit hierfür ist jedoch gering,
da bei einem 32bit-System zum Ausführen des (Schad)Codes beinahe 4 GByte an
durchgängigem Adress Space gemapped werden müssten. Im Fall einer
64bit-Umgebung sind es  bereits 8
GByte.  Von daher ist davon auszugehen,
dass die Schwachstelle im schlimmsten Fall zu einer Denial-of-Service-Attacke
(DoS) und einem Blue Screen führt.

 

In einem Blog-Beitrag
erklären die Kollegen von Microsofts Security Research and Defense (SRD)-Team
weitere Details zur entdeckten Lücke. Aus dem Beitrag geht unter anderem
hervor, dass prinzipiell alle Versionen von Windows betroffen sind. Am schwerwiegendsten
ist das Problem jedoch auf Maschinen, die als primärer Domaincontroller (PDC)
fungieren. Das von der Schwachstelle betroffene BROWSER-Protokoll sollte in
einer sinnvoll abgesicherten IT-Umgebung von der Firewall blockiert werden, so
dass ein Missbrauch über das Internet nicht möglich ist.

 

Auch die Kollegen aus dem Malware Protection Center (MMPC)
widmen der SMB-Lücke einen Blog-Eintrag.
Dieser erklärt, dass der vom bislang unbekannten Hacker veröffentlichte
Proof-of-Concept (PoC)-Code glücklicherweise nur zum Blue Screen führt, nicht
aber eine RCE ermöglicht. Was wahrscheinlich an der oben erwähnten Komplexität
für eine erfolgreiche RCE liegen dürfte.

 

Noch nicht entschieden wurde, wie Microsoft die SMB-Lücke
schließen wird. Möglich sind – abhängig von den Bedürfnissen der
Kunden – ein Sicherheitsupdate im Rahmen des monatlichen Updatezyklus, oder auch
ein Update außer der Reihe (Out of Band). Ebenfalls möglich ist eine
Sicherheitsempfehlung mit Hinweisen, wie Kunden das eventuell von der Lücke
ausgehende Risiko selbst minimieren können.

Comments (0)