Microsoft hat am Dienstag, dem 10.3., einen sehr knapp gehaltenen Hinweis auf eine neue noch nicht gepatchte Sicherheitslücke in Windows veröffentlicht. Angreifer, die es schaffen, diese Lücke auszunützen, könnten sowohl auf Windows-Servern als auch -Clients eigenen Code ausführen lassen, so Microsoft. Server könnten direkt angegriffen werden. Clients könnten auf speziell präparierte Server gelockt und dann infiziert werden.

Laut 'Ars Technica' hatten auch Fortinet und Cisco Talos Security-Advisories zu dieser Lücke veröffentlicht, sie aber kurz darauf wieder zurückgezogen.  Dies könnte auf ein Timing-Missverständnis zwischen Microsoft und den anderen beiden Unternehmen hindeuten. Keines der drei Unternehmen wollte sich gegenüber 'Ars Technica' zu den Umständen der Veröffentlichung äussern.

Zwar ist das knappe Communiqué von Microsoft für Hacker wohl kaum nützlich dabei, Schadcode zu entwickeln, der das Loch ausnützen könnte. Aber sie wissen nun, wo sie danach suchen müssen: Im "Server Message Block"-Protokoll (SMBv3) von Windows 10 und Windows Server. Betroffen sind jeweils die beiden neuesten Versionen 1903 und 1909.

Mittlerweile warnt denn auch das deutsche Security-Amt BSI vor dieser Lücke. Noch seien zwar keine aktiven Angriffe bekannt. Aber dies könne sich plötzlich ändern. Zudem könnte die Lücke nicht nur gezielte Angriffe auf Netzwerke ermöglichen. Hacker könnten auch Schadcode entwickeln, der sich als Computer-Wurm selbstständig repliziert und von Computer zu Computer verbreitet.

Als 2017 eine Schwachstelle in SMBv1 bekannt wurde, resultierte dies in den grossen Infektionswellen mit Wannacry  und Notpetya. Microsoft hatte seither das SMB-Protololl explizit mit der Absicht weiterentwickelt, Schwachstellen, welche Würmer ermöglichen, zu eliminieren.

Das BSI rät Unternehmen dringend, die von Microsoft in seinem Advisory beschriebenen Ratschläge zu befolgen.  Diese beinhalten die Abschaltung der Kompressionsfunktion von SMBv3 mittels eines PowerShell-Kommandos. Dies sollte zumindest Server vor Angriffen schützen. Ausserdem sollte der TCP Port 445 in der Perimeter-Firewall blockiert werden.