SMB2-Exploit-Code ist da

Kurz vor Microsofts September Patch Day ist Anfang letzter Woche eine als kritisch einzustufende Sicherheitslücke in Vista und Windows Server 2008 bekannt geworden (Computerworld berichtete). Sie betrifft die Version 2 des SMB-Protokolls (Server Message Block), unter Windows besser bekannt als Datei- und Druckerfreigabe. Mittlerweile ist Exploit-Code verfügbar, mit dem ein erfolgreicher Angriff möglich sein soll.

Zunächst gab es nur verschiedene Demo-Exploits, mit denen anfällige Windows-Rechner zum Absturz gebracht werden können. Inzwischen hat das Sicherheitsunternehmen Immunity für die Kunden seines Exploit-Frameworks CANVAS einen funktionsfähigen und dem Vernehmen nach stabilen Exploit bereit gestellt, der auch eine Übernahme der Kontrolle über das angegriffene Windows-System ermöglichen soll. Auch das offene Metasploit-Framework will in Kürze ein funktionierendes Exploit-Modul veröffentlichen. Ein stabiler Exploit könnte die Schwachstelle für einen Wurm ausnutzbar machen.

Microsoft hat am 8. September die Sicherheitsmeldung 975497 mit Empfehlungen heraus gegeben, wie man Angriffe auf diese Schwachstelle abwenden kann. Als Workarounds empfehlen die Redmonder, das SMB2-Protokoll zu deaktivieren oder die TCP-Ports 139 und 445 mit einer Firewall zu blockieren. Ist die Datei- und Druckerfreigabe nicht aktiviert, ist ein System auch nicht für Angriffe dieser Art anfällig. Neben Vista (einschliesslich Service Pack 2) und Windows Server 2008 (bis SP2) ist auch Windows 7 RC (Release Candidate) anfällig, nicht jedoch dessen finale Fassung sowie die von Server 2008 R2. Ein Sicherheits-Update von Microsoft, das die Sicherheitslücke beseitigen könnte, ist bislang nicht verfügbar.