Auf der Defcon in Las Vegas haben Sean Dillon und Zach Harding, zwei Forscher von RiskSense, eine Schwachstelle in Windows SMB vorgestellt, die es einem einzelnen Angreifer ermöglicht, den gesamten Arbeitsspeicher eines Servers zu füllen und so das System zum Absturz zu bringen. Microsoft hat bereits mitgeteilt, diese Schwachstelle nicht zu beheben.

Anfangs war noch vermutet worden, dass die Schwachstelle nur die alte Version 1 des Server Message Block (SMB) betrifft.  Jedoch ist mittlerweile bestätigt worden, dass die Schwachstelle bei allen SMB-Versionen ausgenutzt werden kann.

Abwehr

Zur Absicherung gegen die Schwachstelle muss die Kommunikation zum Windowsserver (Ports 139 und 445) über eine Firewall unterbunden werden. Grundsätzlich sollte kein Zugriff aus dem Internet auf die SMB-Schnittstelle eines Windowsservers möglich sein, allerdings besteht auch die Möglichkeit, dass ein Innentäter die Schwachstelle ausnutzt. Es ist z. B. denkbar, dass ein Raspberry Pi mit dem Firmennetz verbunden wird und dann die internen Server angreift. Das Auffinden dieses Clients zwischen den „normalen“ Clients den Unternehmen, die SMB ganz regulär für Dateifreigaben nutzen, dürfte ein größeres Problem sein.

Insofern ist zu prüfen, welche Firewallregeln tatsächlich möglich sind und aus welchen internen Bereichen die Kommunikation zu einem Server eingeschränkt werden kann (Netzwerksegmentierung). Eventuell kann auch ein Intrusion Detection System helfen, entsprechende Angriffe im internen Netz zu erkennen und zu beheben.

Unabhängig von dieser Schwachstelle sollte auf allen Systemen die Unterstützung von SMB Version 1 deaktiviert werden. Diese Version ist veraltet und unsicher. Microsoft hat bereits angekündigt SMB 1 in Windows 10 zu deaktivieren.