Thema: Sicherheitslücke in Windows 7 und Vista entdeckt

[SiLæncer]

In den Betriebssystemen Windows 7 und Windows Vista wurde eine Schwachstelle gefunden, mit deren Hilfe ein System über das Internet zum Neustart gezwungen werden kann. Schuld ist ein Fehler in Microsofts SMB2-Protokoll.

Man findet ihn im Treiber srv2.sys. Dort tritt er bei einer Anfrage eines Clients auf, wenn der SMB2-Header im Feld "Process Id High" ein Ampersand (&) enthält. Der Client muss sich bei dieser Anfrage nicht authentifizieren. Da der Port 445 unter Windows standardmäßig geöffnet ist, sind alle Systeme mit Windows Vista und Windows 7 betroffen.

Im Internet ist bereits ein erster Exploit aufgetaucht, der die neu entdeckte Schwachstelle ausnutzt. Laut einem Bericht von 'heise Security' führt der Code bei Windows-Vista-Systemen zum Erfolg - es erfolgt ein Neustart. Windows 7 dagegen reagiert nicht auf die manipulierte Anfrage.

Möglicherweise ist auch der Windows Server 2008 betroffen, da er ebenfalls den SMB2-Treiber verwendet. Frühere Windows-Versionen unterstützen SMB2 nicht und sind daher nicht Neustart-gefährdet. Um sich zu schützen, genügt es in der Firewall die Ausnahme für die Datei- und Druckerfreigabe zu entfernen. Microsoft hat zu diesem Problem bislang keine Stellungnahme abgegeben.

Quelle : http://winfuture.de

[SiLæncer]

Gestern berichteten wir über eine neu entdeckte Sicherheitslücke in Microsofts SMB2-Protokoll, von der Windows Vista und Windows 7 betroffen sein sollen. Inzwischen hat Microsoft ein Security Advisory veröffentlicht, das etwas Licht in das Dunkel bringt.

Demnach geht der Redmonder Konzern davon aus, dass lediglich Windows Vista und der Windows Server 2008 betroffen sind. Es liegen bislang keine Informationen darüber vor, dass die Sicherheitslücke aktiv ausgenutzt wird. Es existiert jedoch bereits ein Exploit-Code, der das Vorhandensein des Problems belegt.

Microsoft arbeitet nach eigenen Angaben mit seinen Partnern aus dem Microsoft Active Protections Program (MAPP) zusammen, um weitere Informationen zur Sicherheitslücke bereitstellen zu können. Wann mit einem Patch zu rechnen ist, gibt das Unternehmen nicht an.

Die Schwachstelle sorgt dafür, dass ein System über das Internet zu einem Neustart gezwungen werden kann. Schuld ist ein Fehler in Microsofts SMB2-Protokoll. Man findet ihn im Treiber srv2.sys. Dort tritt er bei einer Anfrage eines Clients auf, wenn der SMB2-Header im Feld "Process Id High" ein Ampersand (&) enthält. Der Client muss sich bei dieser Anfrage nicht authentifizieren. Da der Port 445 unter Windows standardmäßig geöffnet ist, sind alle Systeme mit Windows Vista und Windows Server 2008 betroffen.

Quelle : http://winfuture.de

[SiLæncer]

Für die vor zwei Wochen entdeckte Sicherheitslücke in der Implementierung des SMB2-Protokolls für Windows Server 2008 und Vista gibt es noch immer keinen Patch. Als Vorab-Lösung bietet Microsoft jetzt einen "1-Click-Workaround" an: SMB2 abschalten. Mit einem weiteren Click kann man die Abschaltung rückgängig machen.

Microsoft hatte die Existenz der SMB-Lücke bereits am 8. September eingeräumt und dabei bestätigt, dass das Sicherheitsloch zum Einschleusen und Ausführen von fremdem Code missbraucht werden kann. Zunächst war angenommen worden, dass darüber lediglich ein Neustart ausgelöst werden könne. Mittlerweile kursieren aber funktionierende Exploits, mit denen man ein System komplett übernehmen kann.

Quelle : www.heise.de

[SiLæncer]

Im Internet wurde ein voll funktionsfähiger Exploit für die Sicherheitslücke der Implementierung des SMB2-Protokolls veröffentlicht. Damit kann man verwundbare Windows-Systeme im Netz aufspüren und dann gezielt angreifen. Durch die Einbindung in das Exploit-Toolkit MetaSploit kann der Angreifer dabei sehr frei entscheiden, was dann geschehen soll: Das Spektrum reicht von einer Warnmeldung bis hin zur Einrichtung einer komfortablen Hintertür zum System.

Verwundbar sind Windows Vista, Windows Server 2008 und der Release Candidate von Windows 7 – in der finalen Version ist der Fehler behoben. Microsoft stellt für die seit knapp drei Wochen bekannte Sicherheitslücke immer noch keinen Patch bereit. Der Windows-Hersteller hat zwar eine Anleitung veröffentlicht, wie man das gefährdende SMB2-Protokoll mit einem Klick abschalten kann – das werden aber sicher nicht alle Betroffenen tun.

Bislang zirkulierten die SMB2-Exploits in eher geschlossenen Gruppen. Mit der Veröffentlichung erhält jeder Zugang zu dem Quellcode eines funktionierenden Exploits. Wozu das führen kann, zeigt eine Such-Anzeige. Auf der Code-Börse GetACoder sucht ein Unbekannter aus Singapur einen Entwickler, der ihm damit möglichst schnell ein anpassbares C/C++-Programm baut, das auf verwundbaren Systemen ein Programm aus dem Internet nachlädt und ausführt. Es ist kaum anzunehmen, dass er damit legitime Sicherheitstests durchführen will.

Wer ein betroffenes System ohne Firewall einsetzt, sollte den "1-Click-Workaround" unbedingt durchführen. Da Würmer erfahrungsgemäß auch hinter Firewalls gelangen können, empfehlen sich auch für derartig abgeschirmte Systeme vorbeugende Maßnahmen.

Quelle : www.heise.de

[SiLæncer]

Microsoft kannte offenbar die am Patchday behobene SMB2-Sicherheitslücke in Vista und Server 2008, bevor sie ein unabhängiger Sicherheitsexperte entdeckte und Anfang September publizierte. Dies kam ans Licht, als Security-Development-Lifecycle-Chef Michael Howard am gestrigen Donnerstag in Microsofts SDL-Blog erklärte, dass der Fehler "sehr spät im Windows-7-Entwicklungsprozess gefunden" und daher in der Final-Fassung bereits behoben wurde.

Anscheinend wollte Howard lediglich erklären, wieso laut dem ersten öffentlichen Fehlerbericht im September auch Windows 7 von der Lücke im Netzwerk-Stack betroffen sein sollte, sich aber schnell herausstellte, dass dies nur bei den Release Candidates der Fall war. Weil Windows 7 Final jedoch seit Anfang August zum Download bereitsteht, kannte Microsoft den Bug spätestens seit Juli. Metasploit-Entwickler HD Moore provozierte prompt auf Twitter: "Und wieso haben sie [den Patch] nicht gleich auch auf Vista/2008 zurückportiert?" Der Fuzzing-Experte Charlie Miller antwortete sogleich: "Sie müssen angenommen haben, dass es niemand herausfinden würde, oops."

Über die wahren Hintergründe kann man freilich nur spekulieren, doch der Vorfall bestätigt die These, dass von Microsoft entdeckte Programmierfehler zunächst auf einer geheimen Liste landen, die unabhängig von ihrer Gefährlichkeit nur mit niedriger Priorität abgearbeitet wird, solange die Bugs nicht öffentlich bekannt sind. Sicherheits-Updates erfordern in der Regel umfangreiche Testprozeduren, weil es unter den Millionen von Systemen zu schwer vorhersehbaren Problemen kommen kann. Solche Tests lassen sich bei in der Entwicklung befindlichen oder noch nicht offiziell veröffentlichten Produkten wie Windows 7 sehr viel knapper halten. In der Branche ist es außerdem nicht unüblich, hausintern gefundene Sicherheitslücken im Stillen zu schließen, um kein Aufsehen zu erregen.

Quelle : www.heise.de

[SiLæncer]

Ein Fehler in der Implementierung des SMB-Clients von Windows 7 und Windows Server 2008 R2 lässt sich ausnutzen, um das System aus der Ferne komplett einfrieren zu lassen. Dazu genügt es, dass der Client einen präparierten SMB-Server aufruft. Durch fehlerhafte Antworten des Servers mit zu kurzen NetBIOS-Headern gerät der SMB-Client in eine Endlosschleife, in dessen Folge Windows nicht mehr reagiert. Der Fehler lässt sich nach bisherigen Erkenntnissen aber nicht zum Kompromittieren eines Systems ausnutzen.

Um Opfer eines erfolgreichen DoS-Angriffs zu werden, muss der Anwender nicht zwangsläufig manuell mit dem bösartigen Server Kontakt aufnehmen. Die Verbindung dorthin lässt sich beispielsweise mit dem Internet Explorer initiieren, wenn dieser eine HTML-Seite mit einem entsprechenden Link verarbeitet. Der Angriff ist auch nicht auf das LAN beschränkt, sofern die Firewall oder der Paketfilter SMB-Pakete passieren lässt.

Der Entdecker der DoS-Schwachstelle Laurent Gaffié hat einen in Python geschriebenen Server-Exploit veröffentlicht, der das Problem demonstriert. Im Test der heise-Security-Redaktion blieb ein Windows-7-Rechner beim Aufruf des Servers abrupt stehen und konnte nur durch das Trennen von der Stromversorgung aus seiner Lage befreit werden.

Nach Angaben von Laurent Gaffié hätte Microsoft im Rahmen seines Security Development Lifecycles den Fehler selbst entdecken müssen. Einen Patch gibt es noch nicht. Gaffié hat Microsoft aber auch erst am 8. November informiert. Die Redmonder haben die Lücke bestätigt. Eine sinnvolle Empfehlung für den Schutz vor derartigen DoS-Attacken gibt Gaffié nicht. Um sich zumindest vor Antwort-Paketen von präparierten SMB-Servern im Internet zu schützen, könnte man alle SMB-Ports auf der Firewall blocken, also 139 und 445.

Der Ablaufplan der Veröffentlichung des Problems enthält allerdings noch einen seltsamen Eintrag. Demnach habe das Microsoft Security Response Center Gaffié versucht zu überzeugen, dass ein "multi-vendor-ipv6 bug" nicht in einem Security Bulletin auftauchen sollte. Ob damit gemeint ist, dass möglicherweise doch andere Produkte betroffen sind, ist unklar. Eine Anfrage an Gaffié blieb bislang unbeantwortet.

Erst im Oktober musste Microsoft eine kritische Lücke in der Implementierung des SMBv2-Protokolls in Windows Vista und Server 2008 R2 schließen. Im Nachhinein wurde bekannt, dass der Hersteller den Fehler schon länger kannte und ihn (heimlich) noch rechtzeitig in der finalen Versiion von Windows 7 Microsoft beheben konnte.

Quelle : www.heise.de

[SiLæncer]

Wie am 12. November gemeldet, lässt ein Fehler in der Implementierung des SMB-Clients von Windows 7 und Windows Server 2008 R2 sich ausnutzen, um das System aus der Ferne einfrieren zu lassen. Microsoft hat dazu nun eigenes Advisory veröffentlicht. Demnach untersucht Microsoft öffentliche Berichte, will aber eine Gefahr nicht direkt zugestehen. Die Schwachstelle könne nicht dafür verwendet werden, die Kontrolle über ein System zu übernehmen oder dort bösartige Software einzuschleusen. Zu der Möglichkeit, dass Systeme remote angehalten werden,  äußert sich Microsoft nicht direkt.

Das Unternehmen sei sich aber bewusst, dass detaillierter Exploit-Code zu der Schwachstelle veröffentlicht worden sei. Bisher gebe es zwar keine Hinweise auf aktive Angriffe, die den Code nutzen oder auf Kunden, die geschädigt worden seien. Microsoft beobachtet nach eigenen Angaben die Situation, um Kunden auf den Stand zu halten und bei Bedarf Hilfestellung geben zu können. Zudem arbeite man "aktiv" mit den Partnern im Microsoft Active Protections Program (MAPP) zusammen. Microsoft will sie mit Informationen versorgen, die es ihnen ermöglichen, einen "umfassenderen Schutz" zur Verfügung zu stellen. Im Anschluss daran will Microsoft angemessene Maßnahmen treffen, um "seinen Kunden zu helfen und sie zu beschützen". Das könne zum Beispiel in Form eines Sicherheitsupdates im üblichen monatlichen Zyklus geschehen.

Der Software-Hersteller kritisiert die Berichte über die Schwachstelle zudem als nicht verantwortungsvoll, da Anwender dadurch potenziell gefährdet würden. Microsoft glaube, dass die allgemein anerkannte Praxis, den Hersteller direkt zu informieren, den Intereressen aller Beteiligten am besten diene. Diese Praxis helfe dabei, die Kunden mit Updates für Sicherheitslücken zu versorgen, ohne während ihrer Entwicklung Angreifern die Pforten zu öffnen.

Quelle : www.heise.de

[SiLæncer]

Sie besteht auch in Windows Server 2008 R2. In der Grundeinstellung reduziert die Windows-7-Firewall die von der Schwachstelle ausgehende Gefahr. Als Workaround sollen betroffene Nutzer die TCP-Ports 139 und 445 blockieren.

Microsoft hat am Freitag einen Patch für die in der vergangenen Woche bekannt gewordene Lücke im Server-Message-Block-Protokoll (SMB) unter Windows 7 und Windows Server 2008 R2 angekündigt. Ein Angreifer kann über die Schwachstelle einen Absturz eines ungepatchten Systems auslösen.

"Uns ist ein detaillierter, öffentlich zugänglicher Exploit bekannt, der dazu führt, dass ein System nicht mehr reagiert oder instabil wird", erklärte Microsoft-Sprecher Dave Forstrom. Die Anfälligkeit könne nicht dazu verwendet werden, um die Kontrolle über einen PC zu übernehmen oder Schadsoftware zu installieren.

Die Firewall von Windows 7 reduziere in der Voreinstellung die Gefahr, die von der Lücke ausgehe, so Forstrom. Darüber hinaus empfiehlt Microsoft, in der Firewall die TCP-Ports 139 und 445 zu blockieren, bis ein Patch zur Verfügung steht.

In einer Sicherheitsmeldung kritisiert Microsoft die Art, in der der Sicherheitsforscher Roland Gaffié mit seiner Entdeckung umgegangen ist. "Microsoft ist beunruhigt darüber, dass der Bericht über die Schwachstelle nicht verantwortungsbewusst offengelegt wurde." Dadurch entstehe ein Risiko für Computernutzer.

Gaffié hatte die Zero-Day-Lücke nach eigenen Angaben am 8. November an Microsoft gemeldet. Drei Tage später, nachdem Microsoft ihn aufgefordert hatte, den Exploit Code nicht zu veröffentlichen, beschrieb er die Schwachstelle und den Exploit detailliert in einem Blogeintrag. Darin kündigte er auch an, weitere Kernel-Lücken in Windows 7 öffentlich zu machen.

Quelle : www.zdnet.de