Microsoft konnte die zuvor öffentlich gemachte Schwachstelle in Windows SMB (Server Message Block) nachvollziehen. Wie die erste Untersuchung in einer 32bit-Umgebung zeigt, kann die Lücke nicht zum Ausführen von beliebigem Code aus der Ferne (Remote Code Execution, RCE) missbraucht werden. Die Kollegen in den USA untersuchen nach wie vor, ob RCE auf einer 64bit-Plattform möglich ist. Die Wahrscheinlichkeit hierfür ist jedoch gering, da bei einem 32bit-System zum Ausführen des (Schad)Codes beinahe 4 GByte an durchgängigem Adress Space gemapped werden müssten. Im Fall einer 64bit-Umgebung sind es  bereits 8 GByte.  Von daher ist davon auszugehen, dass die Schwachstelle im schlimmsten Fall zu einer Denial-of-Service-Attacke (DoS) und einem Blue Screen führt.

 

In einem Blog-Beitrag erklären die Kollegen von Microsofts Security Research and Defense (SRD)-Team weitere Details zur entdeckten Lücke. Aus dem Beitrag geht unter anderem hervor, dass prinzipiell alle Versionen von Windows betroffen sind. Am schwerwiegendsten ist das Problem jedoch auf Maschinen, die als primärer Domaincontroller (PDC) fungieren. Das von der Schwachstelle betroffene BROWSER-Protokoll sollte in einer sinnvoll abgesicherten IT-Umgebung von der Firewall blockiert werden, so dass ein Missbrauch über das Internet nicht möglich ist.

 

Auch die Kollegen aus dem Malware Protection Center (MMPC) widmen der SMB-Lücke einen Blog-Eintrag. Dieser erklärt, dass der vom bislang unbekannten Hacker veröffentlichte Proof-of-Concept (PoC)-Code glücklicherweise nur zum Blue Screen führt, nicht aber eine RCE ermöglicht. Was wahrscheinlich an der oben erwähnten Komplexität für eine erfolgreiche RCE liegen dürfte.

 

Noch nicht entschieden wurde, wie Microsoft die SMB-Lücke schließen wird. Möglich sind – abhängig von den Bedürfnissen der Kunden – ein Sicherheitsupdate im Rahmen des monatlichen Updatezyklus, oder auch ein Update außer der Reihe (Out of Band). Ebenfalls möglich ist eine Sicherheitsempfehlung mit Hinweisen, wie Kunden das eventuell von der Lücke ausgehende Risiko selbst minimieren können.