Ungepatchte Windows-Schwachstelle könnte "wurmbar" sein

12. März 2020, 15:08
  • security
  • microsoft
  • lücke
image

Die Sicherheitslücke wurde möglicherweise aus Versehen von Microsoft und zwei Security-Unternehmen publiziert.

Microsoft hat am Dienstag, dem 10.3., einen sehr knapp gehaltenen Hinweis auf eine neue noch nicht gepatchte Sicherheitslücke in Windows veröffentlicht. Angreifer, die es schaffen, diese Lücke auszunützen, könnten sowohl auf Windows-Servern als auch -Clients eigenen Code ausführen lassen, so Microsoft. Server könnten direkt angegriffen werden. Clients könnten auf speziell präparierte Server gelockt und dann infiziert werden.
Laut 'Ars Technica' hatten auch Fortinet und Cisco Talos Security-Advisories zu dieser Lücke veröffentlicht, sie aber kurz darauf wieder zurückgezogen.  Dies könnte auf ein Timing-Missverständnis zwischen Microsoft und den anderen beiden Unternehmen hindeuten. Keines der drei Unternehmen wollte sich gegenüber 'Ars Technica' zu den Umständen der Veröffentlichung äussern.
Zwar ist das knappe Communiqué von Microsoft für Hacker wohl kaum nützlich dabei, Schadcode zu entwickeln, der das Loch ausnützen könnte. Aber sie wissen nun, wo sie danach suchen müssen: Im "Server Message Block"-Protokoll (SMBv3) von Windows 10 und Windows Server. Betroffen sind jeweils die beiden neuesten Versionen 1903 und 1909.
Mittlerweile warnt denn auch das deutsche Security-Amt BSI vor dieser Lücke. Noch seien zwar keine aktiven Angriffe bekannt. Aber dies könne sich plötzlich ändern. Zudem könnte die Lücke nicht nur gezielte Angriffe auf Netzwerke ermöglichen. Hacker könnten auch Schadcode entwickeln, der sich als Computer-Wurm selbstständig repliziert und von Computer zu Computer verbreitet.
Als 2017 eine Schwachstelle in SMBv1 bekannt wurde, resultierte dies in den grossen Infektionswellen mit Wannacry  und Notpetya. Microsoft hatte seither das SMB-Protololl explizit mit der Absicht weiterentwickelt, Schwachstellen, welche Würmer ermöglichen, zu eliminieren.
Das BSI rät Unternehmen dringend, die von Microsoft in seinem Advisory beschriebenen Ratschläge zu befolgen.  Diese beinhalten die Abschaltung der Kompressionsfunktion von SMBv3 mittels eines PowerShell-Kommandos. Dies sollte zumindest Server vor Angriffen schützen. Ausserdem sollte der TCP Port 445 in der Perimeter-Firewall blockiert werden.

Loading

Mehr zum Thema

image

Report: Githubs KI-Tool Copilot macht Code unsicherer

Das einst gross angekündigte Tool von Github schreibe eine Menge Lücken in Software, erklären Forscher aus den USA. Sie haben ihre Befunde an der Black-Hat-Konferenz präsentiert.

publiziert am 12.8.2022
image

Edöb besetzt weitere Stellen wegen der Revision des Datenschutzgesetzes

Derzeit sucht der Datenschutzbeauftragte einen Informatiker für die Leitung von Kontrollen. Im Rahmen des neuen DSG wurden 8 Vollzeitstellen gesprochen.

publiziert am 12.8.2022
image

Cyberattacken abwehren bis zum Burnout

Laut einer aktuellen Umfrage leidet fast die Hälfte aller Incident-Responder unter extremem Stress oder sogar Burnouts.

publiziert am 11.8.2022
image

Cisco bestätigt Cyberangriff

Der Angriff fand bereits im Mai statt, die Cyberkriminellen haben jetzt angeblich erbeutete Daten veröffentlicht. Cisco schildert den Ablauf detailliert.

publiziert am 11.8.2022