Am Patchday warnt Microsoft vor einem Trojaner der sich durch eine Schwachstelle im Server Message Block (SMB) auf Windows-Computern ausbreiten kann. Der Trojaner ist in der Lage; sich wie ein Wurm zu verhalten und sich dadurch schnell im Netzwerk zu verbreiten. Es wird dringend empfohlen · alle verfügbaren Sicherheitsupdates zu installieren · um das Risiko einer Infektion zu minimieren. Ansonsten könnten die Folgen erheblich sein – da der Trojaner den Angreifern eine Hintertür in das betroffene System ermöglicht.
Ein wichtiger Patch fehlt
Derzeit sorgt vor allem eine kritische Lücke (CVE-2020-0798) im SMBv3-Protokoll in Windows 10 & Windows Server (1903) für Schlagzeilen. Einer Sicherheitswarnung von Microsoft zufolge müssen Angreifer lediglich präparierte Pakete an verwundbare SMB-Server verschicken um die Schwachstelle auszunutzen. Anschließen sollen sie in der Lage sein, eigenen Code ausführen zu können. Auch Clients sind gefährdet. Für eine erfolgreiche Attacke müsste ein Angreifer Opfer aber dazu bringen, sich mit einem vom Angreifer kontrollierten SMBv3-Server zu verbinden.
Bislang gibt es noch keinen Patch für die Lücke. In der Warnmeldung beschreibt Microsoft einen Workaround, ebenso wie man zumindest SMB-Server absichern kann. Außerdem empfehlen sie, den TCP-Port 445 via Firewall zu blockieren.
Wenn Angreifer erfolgreich an der Schwachstelle ansetzen, könnte sich ein Trojaner Berichten zufolge wurmartig verbreiten und weitere Computer befallen. Auf diese Art hat sich im Sommer 2017 unter anderem der Erpressungstrojaner WannaCry verbreitet. Microsoft versichert; dass sie zum jetzigen Zeitpunkt noch keine Angriffe beobachtet haben.
Weitere kritische Lücken
Noch weiterhin gefährliche Schwachstellen finden sich in Microsoft Media Foundation von Windows 10. Gelingt hier eine Attacke und ein Opfer öffnet ein manipuliertes Dokument, könnten Angreifer Programme installieren oder Accounts anlegen. Der Webbrowser Edge ist durch zehn kritische Lücken in ChakraCore Scripting Engine bedroht. Dabei kann es zu Fehlern bei der Speicherverarbeitung kommen. Am Ende könnten Angreifer die gleichen Nutzerrechte wie ein Opfer bekommen. Internet Explorer 11 ist für ähnliche Attacken anfällig.
Als "wichtig" eingestufte Sicherheitsupdates hat Microsoft unter anderem für Office und Word veröffentlicht. Hier könnten Angreifer beispielsweise mittels manipulierten Word-Dokumenten die Opfer öffnen, Aktionen mit den gleichen Nutzerrechten des Opfers ausführen.
Eine Übersicht zu allen gepatchten Sicherheitslücken im März findet man in Microsofts Security Update Guide. Dort muss man aber schon richtig suchen – um weitere Infos zu finden. Beispielsweise im Blog von Cisco Talos sind weitere Informationen übersichtlicher aufbereitet.
Kommentare