Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (15.03.2017):
Microsoft veröffentlicht im Rahmen des monatlichen Patchtages ein
Sicherheitsupdate zur Behebung der Schwachstelle. Das Sicherheitsupdate
wird im Kontext von Microsoft Windows (MS17-012) veröffentlicht, im
ebenfalls heute veröffentlichten Sicherheitshinweis für Windows SMB-Server
(MS17-010) wird die Schwachstelle nicht erwähnt.
Version 2 (09.02.2017):
Laut neuen Informationen des CERT Coordination Centers (CERT/CC) kann
durch Ausnutzung der Schwachstelle CVE-2017-0016 der Speicher eines
betroffenen Systems nicht korrumpiert werden. Es handelt sich daher um
eine reine Denial-of-Service-Schwachstelle, die vom CERT/CC mittlerweile
auch für Windows Server 2016 und Windows Server 2012 R2 bestätigt wurde.
Der Hersteller Microsoft hat angekündigt, die Schwachstelle im Rahmen der
kommenden monatlichen Sicherheitsupdates zusammen mit weiteren
Schwachstellen im Kontext des Server Message Block-Protokolls (SMB) zu
beheben.
Version 1 (03.02.2017):
Neues Advisory

Betroffene Software:

Microsoft Windows 8.1
Microsoft Windows 10
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2016

Betroffene Plattformen:

Microsoft Windows

Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe eines
speziell präparierten Servers, der über das SMB-Protokoll mit einem
verwundbaren Windows-System kommuniziert, einen kompletten
Denial-of-Service-Zustand des Systems bewirken (Blue Screen of Death). Es
kommt dabei zu einer Speicherkorruption, die sich möglicherweise auch
gezielt für weitere Angriffe ausnutzen lässt. Dazu könnte die Ausführung
beliebigen Programmcodes mit Kernelprivilegien gehören, was einer kompletten
Kompromittierung des Systems entspricht.

Das CERT Coordination Center (CERT/CC) informiert über die Schwachstelle und
bestätigt die Ausnutzbarkeit für einen Denial-of-Service-Angriff für
vollständig aktualisierte Windows-Systeme mit den Betriebssystemen Windows
8.1 und Windows 10. Ein Proof-of-Concept für diese Schwachstelle ist
öffentlich verfügbar, der Hersteller Microsoft hat bisher nicht auf die
Veröffentlichung reagiert.

Workaround:

Zur Minderung der Schwachstelle kann SMB-Datenverkehr aus dem lokalen Netz
an das WAN temporär geblockt werden (TCP-Ports 139 und 445, UDP-Ports 137
und 138). Darüber hinaus sollte SMBv1 deaktiviert werden. Die Unterbindung
solcher Verbindungen kann Einfluss auf die Erreichbarkeit geteilter Daten
oder Geräte haben.

Patch:

Microsoft Sicherheitshinweis MS17-012 (Microsoft Windows)

https://technet.microsoft.com/de-de/library/security/MS17-012

CVE-2017-0016: Schwachstelle in Microsoft Windows ermöglicht
Denial-of-Service-Angriff

In verschiedenen Microsoft Windows-Produkten besteht eine Schwachstelle bei
der Behandlung von Server-Antworten, die der in ‘SMB2 TREE_CONNECT Response’
definierten Struktur folgen, aber zu viele Bytes an diese Struktur angehängt
haben. Die Verarbeitung solchen Datenverkehrs führt zu einem Blue Screen
(BSOD) in ‘mrxsmb20.sys’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0200/

Hinweise von Microsoft zur temporären Deaktivierung von SMB:
https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

US-CERT: SMB Security Best Practices:
https://www.us-cert.gov/ncas/current-activity/2017/01/16/SMB-Security-Best-Practices

Vulnerability Note VU#867968: Microsoft Windows SMB Tree Connect Response
memory corruption vulnerability:
https://www.kb.cert.org/vuls/id/867968

Microsoft Sicherheitshinweis MS17-012 (Microsoft Windows):
https://technet.microsoft.com/de-de/library/security/MS17-012

Microsoft Sicherheitshinweis MS17-010 (Microsoft Windows SMB-Server):
https://technet.microsoft.com/de-de/library/security/MS17-010

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (09.02.2017):
Laut neuen Informationen des CERT Coordination Centers (CERT/CC) kann
durch Ausnutzung der Schwachstelle CVE-2017-0016 der Speicher eines
betroffenen Systems nicht korrumpiert werden. Es handelt sich daher um
eine reine Denial-of-Service-Schwachstelle, die vom CERT/CC mittlerweile
auch für Windows Server 2016 und Windows Server 2012 R2 bestätigt wurde.
Der Hersteller Microsoft hat angekündigt, die Schwachstelle im Rahmen der
kommenden monatlichen Sicherheitsupdates zusammen mit weiteren
Schwachstellen im Kontext des Server Message Block-Protokolls (SMB) zu
beheben.
Version 1 (03.02.2017):
Neues Advisory

Betroffene Software:

Microsoft Windows 8.1
Microsoft Windows 10
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2016

Betroffene Plattformen:

Microsoft Windows

Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe eines
speziell präparierten Servers, der über das SMB-Protokoll mit einem
verwundbaren Windows-System kommuniziert, einen kompletten
Denial-of-Service-Zustand des Systems bewirken (Blue Screen of Death). Es
kommt dabei zu einer Speicherkorruption, die sich möglicherweise auch
gezielt für weitere Angriffe ausnutzen lässt. Dazu könnte die Ausführung
beliebigen Programmcodes mit Kernelprivilegien gehören, was einer kompletten
Kompromittierung des Systems entspricht.

Das CERT Coordination Center (CERT/CC) informiert über die Schwachstelle und
bestätigt die Ausnutzbarkeit für einen Denial-of-Service-Angriff für
vollständig aktualisierte Windows-Systeme mit den Betriebssystemen Windows
8.1 und Windows 10. Ein Proof-of-Concept für diese Schwachstelle ist
öffentlich verfügbar, der Hersteller Microsoft hat bisher nicht auf die
Veröffentlichung reagiert.

Workaround:

Zur Minderung der Schwachstelle kann SMB-Datenverkehr aus dem lokalen Netz
an das WAN temporär geblockt werden (TCP-Ports 139 und 445, UDP-Ports 137
und 138). Darüber hinaus sollte SMBv1 deaktiviert werden. Die Unterbindung
solcher Verbindungen kann Einfluss auf die Erreichbarkeit geteilter Daten
oder Geräte haben.

VU-867968: Schwachstelle in Microsoft Windows ermöglicht
Denial-of-Service-Angriff

In verschiedenen Microsoft Windows-Produkten besteht eine Schwachstelle bei
der Behandlung von Server-Antworten, die der in ‘SMB2 TREE_CONNECT Response’
definierten Struktur folgen, aber zu viele Bytes an diese Struktur angehängt
haben. Die Verarbeitung solchen Datenverkehrs führt zu einem Blue Screen
(BSOD) in ‘mrxsmb20.sys’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0200/

Hinweise von Microsoft zur temporären Deaktivierung von SMB:
https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

US-CERT: SMB Security Best Practices:
https://www.us-cert.gov/ncas/current-activity/2017/01/16/SMB-Security-Best-Practices

Vulnerability Note VU#867968: Microsoft Windows SMB Tree Connect Response
memory corruption vulnerability:
https://www.kb.cert.org/vuls/id/867968

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.