EternalDarkness: Kritische Sicherheitslücke bei Windows 10


Kostenfreie E-Learning Kurse sichern!

Jetzt unter learning.aware7.de registrieren und
alle E-Learning Kurse und Webinare kostenfrei absolvieren!



In Windows Systemen, genauer gesagt Windows 10 und Windows Server, ist gestern eine kritische Schwachstelle(CVE-2020-0796), namens „EternalDarkness“ im SMB-Protokoll bekannt geworden. Auf Servern kann die Schwachstelle mit einem Workaround verhindert werden, allerdings nicht auf privaten Rechnern. In jedem Fall empfiehlt Microsoft die Systeme zu aktualisieren sobald Updates verfügbar sind und den Workaround wieder zu deaktivieren. Zum aktuellen Zeitpunkt ist nicht klar, wann und wie die Schwachstelle geschlossen wird.

Was genau ist passiert?

Das Server Message Block Protokoll in Version 3(SMBv3) enthält eine Schwachstelle. Die Schwachstelle wird von Tenable als „EternalDarkness“ bezeichnet. Genaue Details sind noch nicht bekannt, allerdings handelt es sich um eine Pre-Auth Remote Code Execution Schwachstelle. Das bedeutet ein Angreifer kann ohne vorherige Authentifizierung beliebigen, potenziell schädlichen Code auf dem System ausführen, über das SMB Protokoll. Konkret bedeutet diese Schwachstelle, wenn ein System von Ihnen aus dem Internet erreichbar ist, ist es angreifbar.

Server werden mit einem speziell manipulierten Paket angegriffen, während Rechner beziehungsweise Clients mit Hilfe von bösartigen SMBv3 Servern angegriffen werden.  Zu allem Überfluss ist die Schwachstelle „wurmbar“, dass heißt es verbreitet sich von selbst, ähnlich wie WannaCry und NotPetya welche im Frühjahr und Sommer 2017 immensen Schaden angerichtet haben. Beide Tools waren damals ein vermeintliches Resultat aus den ShadowBroker NSA Leaks. Fortiguard schreibt, dass EternalDarkness ein Buffer Overflow zugrunde liegt. Folgende Systeme sind laut Microsoft aktuell betroffen:

  • Windows 10 Version 1903 for 32-bit Systems
  • Windows 10 Version 1903 for x64-based Systems
  • Windows 10 Version 1903 for ARM64-based Systems
  • Windows Server, version 1903 (Server Core installation)
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows 10 Version 1909 for x64-based Systems
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows Server, version 1909 (Server Core installation)



Was kann ich tun?

Als Besitzer eines Windows 10 Systems aktuell leider nichts, außer abzuwarten, dass der Patch erscheint. Für Serverbetreiber gibt es jedoch einen Workaround, welcher es erlaubt eine Infektion zu verhindern. Dieser Workaround funktioniert NUR bei Windows Server Systemen. Als Besitzer eines Windows 10 Laptops werden Sie mit diesem Workaround Ihr System nicht vor EternalDarkness schützen. Die folgenden Informationen sind für Administratoren gedacht. Führen Sie diese Befehle nur aus, wenn Sie wissen was Sie tun.

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
Laut Microsoft muss kein „Reboot“ des Systems stattfinden, damit der Workaround aktiv wird. Wie gesagt, gilt dieser Patch nur für Windows Server Systeme. Clients sind davon unbeeinträchtigt.

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force
Auch hier ist kein Reboot nötig.

Wenn Sie im Besitz einer Perimeter Firewall sind und Ihr gesamtes Netzwerk schützen wollen, sollten Sie TCP Port 445 blockieren, um die Systeme hinter Ihrer Firewall zu schützen. Dies kann Angriffe von außerhalb des Netzwerks, beispielsweise aus dem Internet verhindern, verhindert allerdings keine internen Angriffe.

Es gibt zudem eine Anleitung von Microsoft mit deren Hilfe Sie SMB Traffic davon abhalten können, Ihr eigenes Netzwerk zu verlassen. Das Cert Coordination Center empfiehlt zusätzlich , dass ausgehende SMB-Verbindungen (TCP-Port 445 für SMBv3) vom lokalen Netzwerk zum WAN blockiert werden sollten. Als Administrator können Sie kurzzeitig auch darüber nachdenken, sämtlichen Traffic auf Port 445 Ihrer Clients zu deaktivieren.

Wieso ist die Schwachstelle bekannt?

Ein bisher ungenannter Sicherheitshersteller hat die Schwachstelle versehentlich in Bezug auf den Microsoft Patch Tuesday veröffentlicht. Der Hersteller hatte den Blogbeitrag kurz darauf offline genommen, jedoch hatte sich die Information zu diesem Zeitpunkt bereits weiterverteilt und Microsoft veröffentlichte ADV200005 um zumindest den oben genannten Workaround zur Verfügung zu stellen. Es ist aktuell nicht bekannt, dass diese Schwachstelle „in freier Wildbahn“ ausgenutzt wird. Es existiert auch noch kein sogenannter „Proof of Concept“, der zeigt wie EternalDarkness konzeptionell auszunutzen ist.

Registrierte Nutzer von RISKREX werden im Laufe des heutigen vormittags benachrichtigt, ob Systeme aus dem Internet erreichbar sind, die potenziell anfällig für diesen Angriff sind.

Haftungsausschluss

Die Informationen aus diesem Blogpost werden ohne jegliche Garantie zur Verfügung gestellt. AWARE7 lehnt jede ausdrückliche oder stillschweigende Gewährleistung ab, einschließlich der Gewährleistung der Marktgängigkeit und der Eignung für einen bestimmten Zweck. In keinem Fall sind die AWARE7 oder ihre Zulieferer für Schäden jeglicher Art haftbar, einschließlich direkter, indirekter, zufälliger oder Folgeschäden, entgangener Geschäftsgewinne oder besonderer Schäden, selbst wenn die AWARE7 oder ihre Zulieferer über die Möglichkeit solcher Schäden informiert wurden. In einigen Staaten ist der Ausschluss oder die Beschränkung der Haftung für Folge- oder zufällige Schäden nicht zulässig, so dass die vorstehende Beschränkung möglicherweise nicht zutrifft.


Sevencast – der IT-Security Podcast

Von unterwegs, im Büro oder zu Hause hören und auf dem aktuellen Stand bleiben!

Sevencast bei Spotify
Sevencast bei Apple Podcast
Sevencast bei Overcast


Schreibe einen Kommentar