Bereits im März hatte Microsoft einen Patch für die als kritisch eingestufte Sicherheitslücke SMBGhost im SMB-Protokoll (Server Message Block) veröffentlicht. Dennoch sind noch über 100.000 Computer dafür anfällig. Die RCE-Sicherheitsanfälligkeit (Remote Code Execution) ermöglich Angreifern die Ausführung von Schadcode ohne dass dazu eine Benutzerinteraktion auf den betroffenen Rechnern erforderlich ist.

Aufgrund der Gefahr für Windows 10 und Windows Server (Versionen 1903 und 1909 war jeder betroffene Nutzer dazu aufgefordert sein System umgehend zu patchen. Laut Jan Koprivas Bericht in den SANS ISC Infosec-Foren, scheint dies aber nicht geschehen zu sein.

"Ich bin mir nicht sicher, wie Shodan ermittelt, ob ein Computer für SMBGhost anfällig ist. Wenn der Erkennungsmechanismus jedoch korrekt ist, dann scheinen immer noch über 103.000 betroffene Computer über das Internet erreichbar zu sein. Dies würde bedeuten, dass sich hinter ungefähr 8% aller IPs ein anfälliger Computer versteckt, bei dem Port 445 geöffnet ist “, sagte Kopriva.

Die SMBGhost-Sicherheitslücke, die unter CVE-2020-0796 geführt wird, weist auf der CVSS-Skala (Common Vulnerability Scoring System) die „perfekte“ Punktzahl von 10 von 10 auf. Bei ihrer Entdeckung wurde der Fehler als so schwerwiegend eingestuft, dass Microsoft außer der Reihe ein Sicherheitsupdate veröffentlicht hatte.

„Um die Sicherheitslücke bei einem Server auszunutzen, kann ein nicht authentifizierter Angreifer ein speziell gestaltetes Paket an den anzugreifenden SMBv3-Server senden. Um die Sicherheitsanfälligkeit bei einem Client auszunutzen, muss ein nicht authentifizierter Angreifer einen böswilligen SMBv3-Server konfigurieren und einen Benutzer davon überzeugen, eine Verbindung zu ihm herzustellen “, sagte Microsoft bei der Veröffentlichung des Patches.

Das war im März. Schon kurze Zeit später wurden öffentlich verfügbare Exploits verfügbar, die allerdings „nur“ eine Eskalation der lokalen Privilegien erreichten. Drei Monate später wurde jedoch der erste Proof-of-Concept (PoC) bekannt, der Remote-Code-Execution (RCE) erreichte. Dies erregte sofort breite Aufmerksamkeit und sorgte dafür, dass sogar die US-amerikanische Behörde für Cyber- und Infrastruktursicherheit (CISA) eine Warnmeldung veröffentlichte.

Es ist erwähnenswert, dass SMBGhost zusammen mit einer anderen Sicherheitslücke des SMBv3-Protokolls ausgenutzt werden kann - SMBleed. Laut ZecOps-Forschern, die den letztgenannten Fehler entdeckt haben, könnte ein Cyberkrimineller, der die beiden Sicherheitslücken kombinieren kann, eine Remote-Codeausführung vor der Authentifizierung erreichen.

Wir wiederholen das folgende, obwohl es allen längst klar sein sollte: Administratoren und Benutzer, die ihre Systeme noch nicht gepatcht haben, sollten dies sofort tun.