!CERT: Schwerwiegende Microsoftlücke, bitte in Firewall entsprechende Ports sperren, es steht noch kein Update zur Verfügung

!CERT: Schwerwiegende Microsoftlücke, bitte in Firewall entsprechende Ports sperren, es steht noch kein Update zur Verfügung
Print Friendly, PDF & Email

Zero-Day Lücke: Sowohl Clients als auch Server betroffen! Bitte in der Firewall folgende SMB Ports sperren, falls offen, mehr kann man zur Zeit nicht tun.

SMB-Ports 137-139 und 445 in der Firewall sperren, sicherheitshalber für TCP und UDP

Die Lücke soll sich mit wenig Aufwand ausnutzen lassen

Wenn Ihr Hilfe benötigt, bitte kurze Nachricht, ich kümmere mich ab Montag remote um die jeweiligen Firewall-Einstellungen…

Was ist eine Zero-Day-Lücke/Exploit und warum ist das so gefärlich? Es ist ein Softwarefehler/Lücke, der bisher unbekannt war (und somit nicht ausgebessert wurde). Diese kann ausgenutzt werden ohne, dass der Entwickler Zeit hat (Null Tage) einen Patch mit einer Gegenmaßnahme herauszugeben.

_________________________________________________________________________________________

3. Februar 2017

Wie das CERT der Carnegie Mellon University (CERT/CC) berichtet,
gibt es aktuell eine schwerwiegende Lücke in der SMB-Implementation
  von Microsoft Windows.

Beschreibung

Im SMB-Code von Microsoft Windows wurde eine Schwachstelle entdeckt,
die im harmlosesten Fall einen Absturz des Betriebsystems zur Folge
haben kann, im schlimmsten Fall sogar Remote Code Execution erlaubt.

Durch Senden spezieller übergrosser Pakete kann ein Angreifer mit
Kontrolle über einen Windows-Fileserver verbundene Clients zum
Absturz bringen oder sogar Schadcode einschleusen. Da es relativ
einfach ist, Windows-Clients dazu zu bringen, sich zu externen
Fileservern zu verbinden (etwa durch Einbetten entsprechender Links
in Spam-Mails oder auf Webseiten), ist zu erwarten dass sich
Angreifer bald auf diese Lücke konzentrieren werden –
Proof-of-concept – Code ist bereits öffentlich verfügbar.

CVSS Base Score (laut CERT/CC): 10.0

Auswirkungen

Über diesen Fehler kann potentiell beliebiger Code auf dem
betroffenen Systemen ausgeführt werden. Es sind alle Daten auf
diesen Systemen, sowie potentiell alle durch diese erreichbaren
(etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

CERT/CC konnte das Problem auf folgenden Versionen von Windows
nachvollziehen:
* Microsoft Windows 8.1
* Microsoft Windows 10

Es ist zu erwarten, dass auch die entsprechenden Server-Versionen von
Windows und eventuell auch ältere Versionen wie Windows 7 / Windows 8
betroffen sind.

Abhilfe

Es stehen noch keine Updates zur Verfügung.

Wir empfehlen, SMB-Verbindungen ins Internet auf Firewalls etc. zu
blockieren (zumindest Ports 137-139 und 445, sicherheitshalber für
TCP und UDP). Sollten solche Verbindungen bewusst genutzt werden,
raten wir dies nur über VPN-Lösungen und ähnliches zuzulassen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die „automatisches
Update“-Features von Software zu nutzen, für alle Arten von
Browser-Plugins (Flash, Java, …) auf die
„Click-to-play“-Funktionalitäten von Internet-Browsern
zurückzugreifen, sowie parallel Firewall-Software aktiv und den
Virenschutz aktuell zu halten.
__________________________________________________________________

Informationsquelle(n):
Meldung des Carnegie Mellon Univerity CERT (englisch)
https://www.kb.cert.org/vuls/id/867968
Artikel bei Heise Security

https://www.heise.de/security/meldung/Zero-Day-Luecke-in-SMB-Bibliothek-von-Windows-3616990.html


// CERT Austria –

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*