UPDATE: BSI warnt vor wurmfähiger Schwachstelle in Windows

PantherMedia / Wavebreakmedia

Eine Schwachstelle im Microsoft-Produkt Windows ermöglicht Schadprogrammen neben gezielten Angriffen auch die selbstständige wurmartige Ausbreitung in betroffenen IT-Netzwerken. Da derzeit kein Patch zur Schließung der Sicherheitslücke zur Verfügung steht, schätzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) sie als kritisch ein. 

Microsoft konnte bislang nur einen Workaround zur Verfügung stellen, mit dem die Ausnutzung der Schwachstelle auf SMB-Servern verhindert werden kann. Für einzelne SMB-Clients ist der Workaround nicht geeignet, daher sollte bei betroffenen SMB-Clients eine vollständige Deaktivierung von SMB erwogen werden (s.u.). Ein ähnliches Szenario hatte 2017 zu den IT-Sicherheitsvorfällen "WannaCry" und "NotPetya" geführt.

Dem BSI ist bislang keine aktive Ausnutzung der Schwachstelle bekannt. Da die Sicherheitslücke jetzt jedoch öffentlich bekannt geworden ist, könnte sich dies kurzfristig ändern. Das BSI rät daher dringend dazu, den von Microsoft beschriebenen Workaround umzusetzen. Außerdem sollte ein Patch, sobald er zur Verfügung steht, kurzfristig eingespielt werden. Zugriffe aus dem Internet auf den von SMB verwendeten Port 445/tcp sollten grundsätzlich von der Firewall geblockt werden. 

Für SMB-Clients der betroffenen Windows-Versionen sollte, bis zur Schließung der Schwachstelle, eine vollständige Deaktivierung von SMB bzw. eine netzwerkseitige Unterbindung geprüft werden. Das BSI hat eine entsprechende Cyber-Sicherheitswarnung an die Bundesverwaltung, die Betreiber Kritischer Infrastrukturen, die Teilnehmer der Allianz für Cyber-Sicherheit und weitere Partner versandt.

Betroffen ist das SMBv3-Protokoll der folgenden Windows-Versionen: Windows 10 SAC (Semi-Annual Channel) 1903 und 1909 (32/64bit und ARM64) sowie Windows Server SAC 1903 und 1909. Windows 10 LTSC (Long Term Servicing Channel) 2016 und 2019 sowie Windows Server LTSC 2016 und 2019 sind von der Schwachstelle nicht betroffen.

SMB ist zentraler Bestandteil der Netzwerkdienste von Microsoft Windows und kommt unter anderem für den Zugriff auf Dateien auf Netzlaufwerken oder die Freigabe von Druckern zum Einsatz. SMB-Server/Client ist nicht mit Windows-Server/Client zu verwechseln. Auch unter Windows 10 kommt die SMB-Serverkomponente zum Beispiel für die Freigabe von Netzlaufwerken zum Einsatz. Der von Microsoft bereitgestellte Workaround bewirkt, dass die Komprimierung von SMBv3 deaktiviert wird.

UPDATE 12.März, 17:30 Uhr: Microsoft stellt nun Sicherheitsupdates zur Behebung der Schwachstelle für alle betroffenen Windows-Versionen zur Verfügung: https://portal.msrc.microsoft.com/de-DE/security-guidance/advisory/CVE-2020-0796.

Aufgrund der Kritikalität der Schwachstelle empfiehlt das BSI, das Sicherheitsupdate umgehend und flächendeckend auf allen betroffenen Systemen einzuspielen.

Verwandte Artikel

Home-Office vergrößert Angriffsfläche für Cyber-Kriminelle

Home-Office vergrößert Angriffsfläche für Cyber-Kriminelle

Die Home-Office-Situation in Pandemiezeiten vergrößert die Angriffsfläche für Cyber-Kriminelle und nimmt damit Einfluss auf die Informationssicherheit von Wirtschaftsunternehmen in Deutschland.

BSI warnt: Kritische Schwachstellen in Exchange-Servern

BSI warnt: Kritische Schwachstellen in Exchange-Servern

Zehntausende Exchange-Server in Deutschland sind nach Informationen des IT-Dienstleisters Shodan über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert. Betroffen sind Organisationen jeder Größe. Das...

Rekordkulisse beim IT-Sicherheitskongress des BSI

Rekordkulisse beim IT-Sicherheitskongress des BSI

Mit über 8.000 Teilnehmerinnen und Teilnehmern verzeichnete das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Rekordkulisse beim 17. Deutschen IT-Sicherheitskongress, der am 2. und 3. Februar 2021 erstmals in virtueller Form...

: