🕵️ Microsoft Windows 8.1/10/Server 2012/Server 2016 SMB Response mrxsmb20.sys Denial of Service
Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: vuldb.com
Eine kritische Schwachstelle wurde in Microsoft Windows 8.1/10/Server 2012/Server 2016, ein Betriebssystem, gefunden. Es geht hierbei um eine unbekannte Funktion der Bibliothek mrxsmb20.sys der Komponente SMB Response Handler. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Dies hat Einfluss auf die Verfügbarkeit.
Die Schwachstelle wurde am 02.02.2017 durch PythonResponder als VU#867968 in Form eines bestätigten Advisories (CERT.org) herausgegeben. Auf kb.cert.org kann das Advisory eingesehen werden. Eine Veröffentlichung wurde nicht in Zusammenarbeit mit Microsoft angestrebt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt.
Ein öffentlicher Exploit wurde in Python geschrieben und vor und nicht erst nach dem Advisory veröffentlicht. Er wird als funktional gehandelt. Unter github.com wird der Exploit zur Verfügung gestellt. Es dauerte mindestens 1 Tage, bis diese Zero-Day Schwachstelle öffentlich gemacht wurde. Während dieser Zeit erzielte er wohl etwa $5k-$25k auf dem Schwarzmarkt.
Mit der Einstellung Disable SMB
kann das Problem adressiert werden.
Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1037767) dokumentiert. Weiterführende Informationen auf Deutsch finden sich auf heise.de.
CVSSv3
Base Score: 6.5Temp Score: 6.2
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H/E:F/RL:W/RC:C
Zuverlässigkeit: High
CVSSv2
Base Score: 7.1 (CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:C)Temp Score: 6.4 (CVSS2#E:F/RL:W/RC:C)
Zuverlässigkeit: High
CPE
- cpe:/o:microsoft:windows:8.1
- cpe:/o:microsoft:windows:10
- cpe:/o:microsoft:windows:server_2012
- cpe:/o:microsoft:windows:server_2016
Exploiting
Klasse: Denial of ServiceLokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: öffentlich
Status: Funktional
Programmiersprache: Python
Download: github.com
Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: ConfigStatus: Workaround
0-Day Time: 1 Tage seit gefunden
Config: Disable SMB
Timeline
01.02.2017 Exploit veröffentlicht02.02.2017 Advisory veröffentlicht
02.02.2017 SecurityTracker Eintrag erstellt
03.02.2017 VulDB Eintrag erstellt
03.02.2017 VulDB letzte Aktualisierung
Quellen
Advisory: VU#867968Person: PythonResponder
Status: Bestätigt
SecurityTracker: 1037767 - Microsoft Windows Server Message Block SMBv3 Response Processing Bug Lets Remote Users Cause the Target System to Crash
Heise: 3616990
Eintrag
Erstellt: 03.02.2017Eintrag: 78.4% komplett
...