SMB-Lücke in Windows wird aktiv ausgenutzt

Eine fast zwei Jahre alte kritische Lücke in Windows wird derzeit aktiv ausgenutzt. Exploits gibt es auch für eine sieben Jahre alte Windows-Lücke.

Die US-amerikanische Cyber Security and Information Security Agency (CISA) warnt davor, dass eine ältere Sicherheitslücke in Windows 10 und Windows Server aktiv ausgenutzt wird. Die kritische Lücke ist eine von insgesamt 15, die die US-Behörde ihrer Liste für aktiv ausgenutzte Sicherheitslücken hinzugefügt hat.

Die Lücke (CVE-2020-0796), die auch als SMBGhost oder Eternal Darkness bezeichnet wird, betrifft das Netzwerkdateisystem SMB in der aktuellen Version 3.0 und hier sowohl die Client- als auch die Serverimplementierung. Microsoft hat das Risiko der inzwischen fast zwei Jahre alte Lücke mit 10 von 10 Punkten bewertet und schätzt diese damit als besonders kritisch ein.

Angreifer, die die Lücke erfolgreich ausnutzen, können damit Schadcode auf den Geräten ausführen (Remote Code Execution, RCE). Die Sicherheitsfirma Tenable hat zu der Lücke geschrieben, dass diese sich dafür eigne, einen Wurm daraus zu bauen.

Am 12. März 2020 veröffentlichte Microsoft einen Patch, der die Lücke beheben soll. Einige Betroffene haben diesen aber wohl immer noch nicht eingespielt, so dass die Lücke weiter ausgenutzt werden kann. Woher die Informationen darüber stammen, dass die Lücke derzeit ausgenutzt wird, gab die Behörde nicht bekannt.

In der nun veröffentlichten Liste warnt die CISA darüber hinaus auch vor einer RCE-Lücke (CVE-2017-0262) in Microsoft Office, vor zwei weiteren RCE-Lücken (CVE-2017-0144 und CVE-2017-0145) in dem nicht mehr offiziell unterstützten SMBv1 sowie vor einer RCE-Lücke (CVE-2015-1635) in der Windows-Komponente HTTP.sys, die als Kernel-Treiber läuft. Letztere ist inzwischen seit fast sieben Jahren bekannt. Alle genannten Lücken werden laut CISA aktiv ausgenutzt.