Lädt...

🕵️ Microsoft Windows 8.1/10/Server 2012/Server 2016 SMB Response mrxsmb20.sys Denial of Service


Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: vuldb.com

Eine kritische Schwachstelle wurde in Microsoft Windows 8.1/10/Server 2012/Server 2016, ein Betriebssystem, gefunden. Es geht hierbei um eine unbekannte Funktion der Bibliothek mrxsmb20.sys der Komponente SMB Response Handler. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Dies hat Einfluss auf die Verfügbarkeit.

Die Schwachstelle wurde am 02.02.2017 durch PythonResponder als VU#867968 in Form eines bestätigten Advisories (CERT.org) herausgegeben. Auf kb.cert.org kann das Advisory eingesehen werden. Eine Veröffentlichung wurde nicht in Zusammenarbeit mit Microsoft angestrebt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt.

Ein öffentlicher Exploit wurde in Python geschrieben und vor und nicht erst nach dem Advisory veröffentlicht. Er wird als funktional gehandelt. Unter github.com wird der Exploit zur Verfügung gestellt. Es dauerte mindestens 1 Tage, bis diese Zero-Day Schwachstelle öffentlich gemacht wurde. Während dieser Zeit erzielte er wohl etwa $5k-$25k auf dem Schwarzmarkt.

Mit der Einstellung Disable SMB kann das Problem adressiert werden.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1037767) dokumentiert. Weiterführende Informationen auf Deutsch finden sich auf heise.de.

CVSSv3

Base Score: 6.5
Temp Score: 6.2
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H/E:F/RL:W/RC:C
Zuverlässigkeit: High

CVSSv2

Base Score: 7.1 (CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:C)
Temp Score: 6.4 (CVSS2#E:F/RL:W/RC:C)
Zuverlässigkeit: High

CPE

Exploiting

Klasse: Denial of Service
Lokal: Nein
Remote: Ja

Verfügbarkeit: Ja
Zugang: öffentlich
Status: Funktional
Programmiersprache: Python
Download: github.com

Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)

Gegenmassnahmen

Empfehlung: Config
Status: Workaround
0-Day Time: 1 Tage seit gefunden

Config: Disable SMB

Timeline

01.02.2017 Exploit veröffentlicht
02.02.2017 Advisory veröffentlicht
02.02.2017 SecurityTracker Eintrag erstellt
03.02.2017 VulDB Eintrag erstellt
03.02.2017 VulDB letzte Aktualisierung

Quellen

Advisory: VU#867968
Person: PythonResponder
Status: Bestätigt
SecurityTracker: 1037767 - Microsoft Windows Server Message Block SMBv3 Response Processing Bug Lets Remote Users Cause the Target System to Crash

Heise: 3616990

Eintrag

Erstellt: 03.02.2017
Eintrag: 78.4% komplett
...

matomo