Die Zero-Day-Sicherheitsanfälligkeit in Microsoft SMBV3

Linux IT Security

Die Zero-Day-Sicherheitsanfälligkeit in Microsoft SMBV3
ermöglicht die Ausführung von Remotecode auf Windows-Systemen. Kein Patch Verfügbar
!

Die schlechten Nachrichten für Microsoft kommen immer wieder. Ein von Forschern eines Cyber-Sicherheitskurses veröffentlichter Bericht ergab, dass der Technologieriese versehentlich vertrauliche Informationen über eine Zero-Day-Sicherheitsanfälligkeit im SMB- Protokoll (Microsoft Server Message Block) enthüllte .


Die Sicherheitsanfälligkeit, die als CVE-2020-0796 verfolgt wird , ist ein Problem bei der Ausführung von Code vor der Remote-Version in Version 3.0 des Protokolls, das vom Unternehmen trotz des vorherigen Empfangs des Berichts nicht behoben wurde.

Laut Mitgliedern des Cyber-Sicherheitskurses liegt der Fehler an einem Fehler in der Art und Weise, wie SMBv3 komprimierte Datenpakete verwaltet, die für böswillige Zwecke erstellt wurden. Bedrohungsakteure könnten die Sicherheitsanfälligkeit ausnutzen, um beliebigen Code im Kontext der Zielanwendung auszuführen. In diesem Zusammenhang veröffentlichte das Sicherheitsunternehmen Fortinet einen Bericht, in dem wiederholte Versuche erwähnt wurden, eine Sicherheitsanfälligkeit in Bezug auf Pufferüberlauf auf SMB-Servern im Zusammenhang mit CVE-2020-0796 auszunutzen.

Die Sicherheitsfirma erwähnte auch, dass die Sicherheitsanfälligkeit alle Geräte betrifft, auf denen Windows 10 Version 1903, Windows Server Version 1903, Windows 10 Version 1909 und Windows Server 1909 ausgeführt werden, obwohl in anderen Versionen des Betriebssystems ein Fehler aufgetreten ist. 

Berichte über Schwachstellen im SMB-Protokoll sind ein ständiges Anliegen der Community, da, wie Experten für Cybersicherheitskurse angeben, Fehler in diesem Protokoll vor einigen Jahren ein Schlüsselfaktor für die Ausweitung der Cybersicherheitsinfektionen WannaCry und NotPetya Ransomware waren.

Microsoft erkannte den Fehler schließlich am 10. März an und fügte hinzu, dass böswillige Hacker ihn ausnutzen könnten, um Remotecodeausführung durchzuführen.

Es ist wichtig zu betonen, dass es noch keine Lösung gibt, um diesen Fehler zu beheben. Laut dem Internationalen Institut für Cybersicherheit (IICS) besteht eine alternative Lösung zur Minderung des Ausnutzungsrisikos darin, die SMBv3-Komprimierung zu deaktivieren und den TCP-Port 455 zu blockieren. 

Um die SMBv3-Komprimierung zu deaktivieren, können exponierte Bereitstellungsadministratoren die folgenden Schritte ausführen:

  • Gehen Sie zu: HKEY_LOCAL_MACHINE-System-CurrentControlSet-Services-LanManWorkstation-Parameter
  • Erstellen Sie einen DWORD- Wert
  • Setzen Sie diesen Wert auf “0”.

Es wird erwartet, dass das Unternehmen in seinem nächsten Update-Paket eine Lösung für diesen Fehler bereit hält. Daher wird Systemadministratoren empfohlen, auf neue Informationen zu achten.

Share via
Copy link
Powered by Social Snap