Neue Lücke in Windows-Dateifreigaben

21.02.2011 08:04

Auf der Mailingliste Full Disclosure hat ein Unbekannter ein bislang unbekanntes Sicherheitsproblem der Windows-Dateifreigaben via SMB veröffentlicht. Ein Pufferüberlauf auf dem Heap kann dazu führen, dass fremder Code in das System eingeschleust und ausgeführt wird. Passenden Code, der das Problem demonstriert, lieferte er gleich mit.

Die Sicherheitsdienstleister Vupen und Secunia haben die Gefahr bestätigt; sie konnten das Problem auf Windows XP SP3 beziehungsweise Windows Server 2003 SP 2 nachvollziehen. Es lässt sich übers Netz durch einen überlangen Server-Namen in einem sogenannten Browser Election Request auslösen. Der Pufferüberlauf erfolgt über die Funktion BrowserWriteErrorLogEntry()im Treiber mrxsmb.sys. Dazu ist keine Authentifizierung am Server erforderlich.

Einen Kommentar von Microsoft oder gar einen Patch gibt es bislang nicht. Der beste Schutz ist es, den Zugang zu Windows-Dateifreigaben über eine Firewall abzuschotten. Gegenüber öffentlichen Netzen erledigt das etwa die Windows Firewall zuverlässig.

Update: Microsofts Chief Security Advisor Deutschland Michael Kranawetter erklärt in einem Blog-Beitrag, "Microsoft untersucht derzeit die veröffentlichten Informationen".

Unterdessen hat das Microsoft-Security-Team eine erste Analyse der Sicherheitslücke durchgeführt. Sie bestätigen, dass alle Windows-Versionen anfällig sind, und der fragliche Dienst zum Absturz gebracht werden kann. Dass darüber gezielt Code eingeschleust und ausgeführt wird, sei zwar prinzipiell möglich, aber recht unwahrscheinlich. Die Lücke würde deshalb lediglich einen Exploitability Index von 3 erhalten: Funktionierender Exploit-Code unwahrscheinlich.