InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Erinnern Sie sich noch an WannaCry? Die Ransomware, welche die EternalBlue Sicherheitslücke (eine Lücke im Server Message Block – SMB) ausgenutzt hat, um sich selber zu verteilen? Das Schlimmste wurde wohl durch den Sicherheitsforscher Marcus Hutchins durch das Entdecken des KillSwitches verhindert. Nichtsdestotrotz entstanden Schäden in Milliardenhöhe. Leider gibt es bereits eine neue Bedrohung, welche ein ähnliches Ausmass annehmen könnte, wenn wir nicht schnell genug reagieren. Was Sie (so schnell wie möglich) tun müssen, erfahren Sie in diesem Beitrag. Unbedingt weiterlesen!
Am 10. März hat Microsoft ein Security Advisory zu einer kritischen RCE (Remote Code Execution) Verwundbarkeit im Microsoft Server Message Block 3.1.1 (SMBv3) publiziert, nachdem ein Anbieter von Sicherheitslösungen aus Versehen einen Blogpost darüber veröffentlicht hatte. Wie schon bei EternalBlue, geht man auch bei dieser Sicherheitslücke davon aus, dass sie «wormable» ist. Das heisst, dass Viren die Lücke automatisiert ausnützen können, um sich selbständig weiter zu verbreiten.
Obwohl das SMB-Protokoll eine hohe Angriffsfläche bietet und nur für den internen Einsatz konzipiert wurde, gibt es aktuell ca. 48'000 Server, welche mit aktiviertem SMBv3 via Internet erreichbar und für die Schwachstelle verwundbar sind. Aber auch wenn Ihre Server nicht via TCP Port 445 vom Internet aus erreichbar sind, besteht möglicherweise eine Gefahr. Und zwar, wenn aktuelle Viren wie Emotet oder Trickbot die Lücke zur lateralen Weiterverbreitung nutzen. Es empfiehlt sich also, auch hier schnell zu handeln.
Es existiert zwar bisweilen kein bekannter Exploit Code für die Schwachstelle, jedoch existieren schon Videos, welche die Ausnützung der Lücke zumindest für DoS (Denial of Service) zeigen.
Sollten Sie den durch Microsoft zur Verfügung gestellten Patch auf Ihren Servern nicht sofort einspielen können, empfiehlt es sich, folgenden Workaround zu implementieren:
Unser Penetration Tester Luca Marcelli hat übrigens einen Scanner in Python geschrieben, mit welchem Sie testen können, ob Ihre Server potentiell verwundbar sind: