Artikel

Zero-Day-Lücke in Windows SMB ermöglicht Denial-of-Service

Die Kommunikation mit einem SMB-Server lässt unter Umständen einen Netzwerktreiber abstürzen. Das wiederum löst einen Blue Screen of Death aus. Microsoft ist das Problem inzwischen bekannt. Das Unternehmen verweist derzeit auf seine monatlichen Patchdays.

Ein Sicherheitsforscher hat Ende vergangener Woche eine Zero-Day-Lücke in Windows öffentlich gemacht. Der eigentliche Fehler steckt im Netzprotokoll Server Message Block (SMB), das für Datei und Druckdienste benötigt wird. Ein Angreifer könnte die Schwachstelle ausnutzen, um einen sogenannten Blue Screen of Death, also einen Absturz des Betriebssystems auszulösen.

Das CERT Coordination Center (CERT/CC) an der Carnegie Mellon University war anfänglich davon ausgegangen, dass die Anfälligkeit auch das Einschleusen und Ausführen von Schadcode aus der Ferne ermöglicht, wie Computerworld berichtet. Die anfängliche Einstufung als „kritisch“ (CVSS 10) wurde inzwischen jedoch auf „hoch“ (CVSS 7,8) reduziert, da Angriffe außer einem Denial-of-Service keine Auswirkungen haben.

Dem Forscher zufolge muss ein Hacker sein Opfer lediglich dazu verleiten, eine Verbindung mit einem SMB-Server herzustellen, der speziell präparierte Antworten sendet. Diese Antworten lassen den Treiber „mrxsmb20.sys“ abstürzen, was wiederum einen Absturz des Betriebssystems und den Blue Screen of Death nach sich zieht.

Das CERT/CC weist zudem darauf hin, dass es verschiedene Techniken gibt, um aus der Ferne eine Verbindung zu einem SMB-Server zu erzwingen. Einige benötigten nur wenig oder gar keine Interaktion mit einem lokalen Windows-Nutzer. Betroffen seien Windows 10 und 8.1 sowie Windows Server 2016 und 2012 R2.

Microsoft ist die Sicherheitslücke inzwischen bekannt. Ein Sprecher des Unternehmens erklärte dem Bericht zufolge, dass Sicherheitsprobleme mit einem geringen Risiko in der Regel im Rahmen des monatlichen Patchdays und nicht außer der Reihe beseitigt würden. Wie Microsoft das Risiko der aktuellen SMB-Lücke einstuft, ließ er jedoch offen. Der nächste reguläre Patchday des Unternehmens findet am 14. Februar statt.