• IT-Karriere:
  • Services:

SMBGhost: Code für Windows-Exploit veröffentlicht

Auf Github ist nutzbarer Code für eine Sicherheitslücke im SMBv3-Protokoll veröffentlicht worden. Verwundbare Systeme sollten dringend gepatcht werden.

Artikel veröffentlicht am , Anna Biselli
Ein Geist unter den SMB-Exploits wurde gesichtet.
Ein Geist unter den SMB-Exploits wurde gesichtet. (Bild: Tandem X Visuals/unsplash.com)

Eine Nutzerin hat auf Github Code veröffentlicht, um eine bekannte Windows-Sicherheitslücke auszunutzen. Die Lücke wurde von Microsoft im März bekanntgegeben und geschlossen, sie ist unter dem Namen SMBGhost bekannt.

Stellenmarkt
  1. Hays AG, München
  2. operational services GmbH & Co. KG, Nürnberg, Berlin, Frankfurt am Main

Es handelt sich um eine wurmfähige Sicherheitslücke, bei der sich Schadsoftware ohne Nutzer-Interaktion von einem infizierten Rechner auf andere ausbreiten kann und Remote Code Execution ermöglicht. Angreifer mussten ein spezielles Paket an einen erreichbaren und verwundbaren SMBv3-Server schicken. Die Schwachstelle steckte im Server-Mesage-Block-Netzwerkprotokoll bei Windows 10, das beispielsweise Dateifreigaben in Netzwerken steuert. Auch der Verschlüsselungstrojaner Wannacry nutzte bereits eine SMB-Schwachstelle aus.

Bisher waren keine öffentlich verfügbaren Exploits für SMBGhost bekannt. Ein Proof of Concept von Ricera Security vom April wurde nicht vollständig veröffentlicht, um Missbrauch durch Kriminelle zu verhindern. Auch das IT-Sicherheitsunternehmen Zec Ops hielt seine Implementierung bisher zurück.

Noch löst der Exploit häufig Bluescreens aus

Auch die Github-Nutzerin Chompie1337 schreibt: "Das für etwas anderes als Selbstbildung zu nutzen, ist eine äußerst schlechte Idee. Dein Computer wird in Flammen aufgehen. Welpen werden sterben." Laut Aussage der Exploit-Entwicklerin treten beim Einsatz des Codes manchmal Fehler auf, die zu einem sogenannten Blue Screen of Death, also einem Systemabsturz führen. Andere Interessierte bestätigten auf Twitter, dass sie Chompies Code nutzen konnten, wenn auch teils nach etlichen gescheiterten Versuchen. Bleeping Computer veröffentlichte ein Video mit dem Vorgehen.

Geht es potenziellen Angreifern darum, verwundbare Systeme durch Ausprobieren zu infizieren, dürften die häufigen Abstürze kaum besonders stören. Chompie1337 weist selbst darauf hin, dass der Exploit schnell geschrieben worden sei und noch stabiler werden müsse. Die Tech-News-Seite Ars Technica zitiert den IT-Sicherheitsforscher Troy Mursch, wonach massenhafte Scan-Aktivitäten beobachtet wurden, um durch SMBGhost verwundbare Systeme aufzuspüren. Wie bei anderen Sicherheitslücken auch werden längst nicht alle Systeme zeitnah gepatcht, nachdem eine Schwachstelle bekanntwurde. Spätestens jetzt ist es dafür höchste Zeit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Yu-Gi-Oh! Promo (u. a. Yu-Gi-Oh! Legacy of the Duelist für 7,20€, Yu-Gi-Oh! ARC-V: ARC...
  2. 999€ (mit Rabattcode "POWERSPRING21" - Bestpreis)
  3. 1.829€ (Bestpreis)

mifritscher 09. Jun 2020

Wieso zum Teufel läuft der SMB Server im Kernelmodus (ansonsten wäre nämlich kein BSOD...


Folgen Sie uns
       


Canon EOS R5 - Test

Canons spiegellose Vollformatkamera EOS R5 kann Fotos mit 45 Mpx aufnehmen und Videos in 8K - aber Letzteres nur mit Einschränkungen.

Canon EOS R5 - Test Video aufrufen
    •  /