2251166

SMB: Windows-10-Lücke erzeugt Bluescreen

07.02.2017 | 15:17 Uhr |

Ein manipulierter Server kann Windows-Rechner zum Absturz bringen. Microsoft lässt sich mit dem Update Zeit.

Durch die in der vergangenen Woche von der Carnegie Mellon University offengelegte Sicherheitslücke im Windows-Netzwerkprotokoll Server Message Block (SMB) lassen sich Rechner aus der Ferne zum Absturz bringen . Die zugrundeliegende Zero-Day-Lücke betrifft Windows 10 und 8.1 sowie Windows Server 2016 und 2012 R2. 

Klickt ein Opfer auf eine Verbindung zu einem manipulierten SMB-Server, so kann dieser den eigenen Rechner zum Absturz bringen. Ergebnis: Ein Bluescreen, der Rechner muss im Anschluss neu gestartet werden. Die Sicherheitslücke wurde anfangs als „kritisch“ eingestuft, nun aber auf „hoch“ herabgesetzt. Grund hierfür ist die Tatsache, dass es lediglich zu einem Absturz kommen kann. Sind jedoch gerade wichtige Dokumente auf dem Rechner geöffnet, so kann es auch zu einem Datenverlust kommen.

Tückisch ist die Lücke zudem, da es dem Windows-Nutzer oft gar nicht auffällt, dass er gerade eine Verbindung zu einem manipulierten SMB-Server aufbaut. Antwortet der entsprechend vorbereitete Server des Angreifers, kommt es zu einem Absturz des Windows-Treibers mrxsmb20.sys, der unter anderem für die Druckerfreigabe zuständig ist. Der provozierte Absturz des Treibers bringt gleichzeitig das gesamte Betriebssystem zum Absturz und resultiert in einem Bluescreen.

Microsoft ist inzwischen auf die Sicherheitslücke aufmerksam geworden. Einem Unternehmenssprecher zufolge würden Sicherheitsprobleme mit einem überschaubaren Risiko einmal monatlich am Patchday behoben. Die Veröffentlichung eines Notfall-Updates sei hingegen nicht geplant. Die nächste Versorgung mit Patches für die betroffenen Windows-Versionen erfolgt am 14. Februar 2017. Bis dahin können sich Nutzer nur umständlich vor dem Bluescreen schützen. Eine Möglichkeit ist die Deaktivierung von SMB, die allerdings auch die Netzwerk- und Druckerfreigaben im heimischen Netzwerk ausschaltet. Alternativ können die TCP-Ports 139 und 445 sowie die UDP-Ports 137 und 138 über eine Firewall blockiert werden.

0 Kommentare zu diesem Artikel
2251166