SMBGhost: Code für Windows-Exploit veröffentlicht

Auf Github ist nutzbarer Code für eine Sicherheitslücke im SMBv3-Protokoll veröffentlicht worden. Verwundbare Systeme sollten dringend gepatcht werden.

Artikel veröffentlicht am , Anna Biselli
Ein Geist unter den SMB-Exploits wurde gesichtet.
Ein Geist unter den SMB-Exploits wurde gesichtet. (Bild: Tandem X Visuals/unsplash.com)

Eine Nutzerin hat auf Github Code veröffentlicht, um eine bekannte Windows-Sicherheitslücke auszunutzen. Die Lücke wurde von Microsoft im März bekanntgegeben und geschlossen, sie ist unter dem Namen SMBGhost bekannt.

Stellenmarkt
  1. IT-Administrator - Schwerpunkt IT-Security & Kommunikationsdienste (m/w/d)
    Barmherzige Brüder Trier gGmbH, Paderborn, Koblenz, Trier, Bad Mergentheim, Mannheim
  2. Java Developer (m/w/d)
    Governikus GmbH & Co. KG, Bremen, Berlin, Erfurt, Köln (Home-Office möglich)
Detailsuche

Es handelt sich um eine wurmfähige Sicherheitslücke, bei der sich Schadsoftware ohne Nutzer-Interaktion von einem infizierten Rechner auf andere ausbreiten kann und Remote Code Execution ermöglicht. Angreifer mussten ein spezielles Paket an einen erreichbaren und verwundbaren SMBv3-Server schicken. Die Schwachstelle steckte im Server-Mesage-Block-Netzwerkprotokoll bei Windows 10, das beispielsweise Dateifreigaben in Netzwerken steuert. Auch der Verschlüsselungstrojaner Wannacry nutzte bereits eine SMB-Schwachstelle aus.

Bisher waren keine öffentlich verfügbaren Exploits für SMBGhost bekannt. Ein Proof of Concept von Ricera Security vom April wurde nicht vollständig veröffentlicht, um Missbrauch durch Kriminelle zu verhindern. Auch das IT-Sicherheitsunternehmen Zec Ops hielt seine Implementierung bisher zurück.

Noch löst der Exploit häufig Bluescreens aus

Auch die Github-Nutzerin Chompie1337 schreibt: "Das für etwas anderes als Selbstbildung zu nutzen, ist eine äußerst schlechte Idee. Dein Computer wird in Flammen aufgehen. Welpen werden sterben." Laut Aussage der Exploit-Entwicklerin treten beim Einsatz des Codes manchmal Fehler auf, die zu einem sogenannten Blue Screen of Death, also einem Systemabsturz führen. Andere Interessierte bestätigten auf Twitter, dass sie Chompies Code nutzen konnten, wenn auch teils nach etlichen gescheiterten Versuchen. Bleeping Computer veröffentlichte ein Video mit dem Vorgehen.

Golem Karrierewelt
  1. Cloud Competence Center: Strategien, Roadmap, Governance: virtueller Ein-Tages-Workshop
    06.10.2022, Virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    24.-28.10.2022, virtuell
Weitere IT-Trainings

Geht es potenziellen Angreifern darum, verwundbare Systeme durch Ausprobieren zu infizieren, dürften die häufigen Abstürze kaum besonders stören. Chompie1337 weist selbst darauf hin, dass der Exploit schnell geschrieben worden sei und noch stabiler werden müsse. Die Tech-News-Seite Ars Technica zitiert den IT-Sicherheitsforscher Troy Mursch, wonach massenhafte Scan-Aktivitäten beobachtet wurden, um durch SMBGhost verwundbare Systeme aufzuspüren. Wie bei anderen Sicherheitslücken auch werden längst nicht alle Systeme zeitnah gepatcht, nachdem eine Schwachstelle bekanntwurde. Spätestens jetzt ist es dafür höchste Zeit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Gene Roddenberrys andere Sci-Fi-Stoffe
Neben Star Trek leider fast vergessen

Der Name Gene Roddenberry steht vor allem für Star Trek. Nach dem Ende der klassischen Serie hat er aber noch andere Science-Fiction-Stoffe entwickelt.
Von Peter Osteried

Gene Roddenberrys andere Sci-Fi-Stoffe: Neben Star Trek leider fast vergessen
Artikel
  1. Carsten Spohr: Lufthansa-Chef wird Opfer eigener Sicherheitslücke
    Carsten Spohr
    Lufthansa-Chef wird Opfer eigener Sicherheitslücke

    Unbekannte haben einen QR-Code auf einem Boardingpass von Lufthansa-Chef Carsten Spohr ausgelesen und auf persönliche Daten zugreifen können.

  2. James Earl Jones: Darth Vader gibt seine Stimme an ukrainisches Unternehmen ab
    James Earl Jones
    Darth Vader gibt seine Stimme an ukrainisches Unternehmen ab

    Die Originalstimme von Darth Vader aus Star Wars gehört James Earl Jones, der sich alterbedingt zurückzieht. Künftig wird die Stimme künstlich generiert.

  3. Fitness-Tracker: Fitbit ab 2023 nur noch mit Google-Konto
    Fitness-Tracker
    Fitbit ab 2023 nur noch mit Google-Konto

    Nach der abgeschlossenen Übernahme durch Alphabet bindet Google den Wearable-Hersteller Fitbit und seine Kunden nun enger an sich.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • CyberWeek: Bis -53% auf Gaming-Zubehör und bis -45% auf PC-Audio • Crucial 16-GB-Kit DDR5-4800 69,99€ • Crucial P2 1 TB 67,90€ • MindStar (u. a. Intel Core i5-12600 239€ und Fastro 2-TB-SSD 128€) • Logitech G Pro Gaming Keyboard 77,90€ • Apple iPhone 12 64 GB 659€ [Werbung]
    •  /