Für eine kritische Sicherheitslücke in Windows gibt es noch keinen Patch. Admins sollten jetzt handeln!

Aktuelle Windows-Versionen sind über eine kritische Sicherheitslücke (CVE-2020-0796) im SMBv3-Protokoll attackierbar. Setzen Angreifer an der Schwachstelle an, könnten sie ohne Authentifizierung aus der Ferne Schadcode ausführen und so die Kontrolle über Computer erlangen.

Da es noch keinen Patch gibt, müssen Admins umgehend reagieren und einen Workaround befolgen, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer aktuellen Pressemitteilung.

Bedroht sind Windows 10 SAC (Semi-Annual Channel) 1903 und 1909 (32/64 Bit und ARM64) und Windows Server 1903 und 1909. Windows 10 LTSC (Long Term Servicing Channel) 2016 und 2019 sowie Windows Server LTSC 2016 und 2019 sind von der Schwachstelle nicht betroffen. SMB ist tief in Windows verankert und das Netzprotokoll ermöglicht unter anderem den Dateizugriff via Netzwerkfreigaben und macht Drucker im Netzwerk verfügbar.

Besonders gefährlich an der Lücke ist, dass nicht nur aus dem Internet erreichbare Computer gefährdet sind. Durch die Möglichkeit der wurmartigen Ausbreitung könnten ganze Netzwerke in einem Rutsch befallen werden.

Dass Windows-Computer nicht öffentlich erreichbar sein sollten, sollte eigentlich selbstverständlich sein. Gelangt nun aber auf einem anderen Weg, etwa über eine betrügerische Mail nebst Dateianhang, eine SMBv3-Payload auf Computer, dient dieser quasi als Sprungbrett und Schadcode breitet sich davon ausgehend flächendeckend im Firmennetzwerk aus. 2017 nahmen die Erpressungstrojaner WannaCry und NotPetya über eine wurmartige Ausbreitung ganze Unternehmen in den Würgegriff.

Derzeit ist unklar, wann Microsoft Sicherheitsupdates veröffentlicht. Bis dahin sollten Admins Windows-Server dringend über einen in einer Meldung von Microsoft beschriebenen Workaround absichern. Damit deaktiviert man die Komprimierung von SMBv3 und von Angreifern versendete präparierte Pakete prallen ab. Für Clients funktioniert diese Vorgehensweise jedoch nicht und Admins sollten SMBv3 bis zum Erscheinen von Patches deaktivieren. Wie das funktioniert, beschreibt Microsoft in einem Beitrag.

Microsoft Guidance for Disabling SMBv3 Compression
Erkennen, aktivieren und Deaktivieren von SMBv1, SMBv2 und SMBv3 in Windows