{"id":23259,"date":"2020-03-12T11:30:03","date_gmt":"2020-03-12T09:30:03","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=23259"},"modified":"2020-03-13T12:21:14","modified_gmt":"2020-03-13T10:21:14","slug":"smb-311-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/smb-311-vulnerability\/23259\/","title":{"rendered":"CVE-2020-0796: Neue Schwachstelle im SMB-Protokoll"},"content":{"rendered":"<p><strong>Am 13. M\u00e4rz aktualisiert<\/strong><\/p>\n<p style=\"text-align: left\">Es wurde <a href=\"https:\/\/portal.msrc.microsoft.com\/de-de\/security-guidance\/advisory\/adv200005\" target=\"_blank\" rel=\"noopener nofollow\">eine CVE-2020-0796 RCE Schwachstelle<\/a> in Windows 10 und Windows Server Betriebssystemen entdeckt, die Auswirkungen auf das SMBv3-Protokoll (Microsoft Server Message Block 3.1.1) hat. Laut Microsoft kann ein Angreifer diese Schwachstelle ausnutzen, um arbitr\u00e4re Codes auf der Seite des SMB-Servers oder SMB-Clients auszuf\u00fchren. Um den Server anzugreifen, kann einfach ein speziell erstelltes Paket an diesen gesendet werden. F\u00fcr den Client m\u00fcssen Angreifer einen b\u00f6swilligen SMBv3-Server konfigurieren und einen Benutzer davon \u00fcberzeugen, eine Verbindung zu ihm herzustellen.<\/p>\n<p>Cybersicherheitsexperten glauben, dass die Sicherheitsanf\u00e4lligkeit genutzt werden kann, um ein WannaCry-\u00e4hnliches Schadprogramm auszuf\u00fchren. Microsoft stuft die Sicherheitsanf\u00e4lligkeit als kritisch ein, daher sollten Sie diese so schnell wie m\u00f6glich schlie\u00dfen.<\/p>\n<h2><strong>Wer ist in Gefahr?<\/strong><\/h2>\n<p>SMB ist ein Netzwerkprotokoll f\u00fcr den Remotezugriff auf Dateien, Drucker und andere Netzwerkressourcen. Es wird verwendet, um Netzwerk-, Datei- und Druckerfreigabefunktionen von Microsoft Windows zu implementieren. Wenn Ihr Unternehmen diese Funktionen nutzt, haben Sie Grund zur Sorge.<\/p>\n<p>Microsoft Server Message Block 3.1.1 ist ein relativ neues Protokoll, das nur in neuen Betriebssystemen verwendet wird:<\/p>\n<ul>\n<li>Windows 10 Version 1903 f\u00fcr 32-Bit-Systeme<\/li>\n<li>Windows 10 Version 1903 f\u00fcr ARM64-basierte Systeme<\/li>\n<li>Windows 10 Version 1903 f\u00fcr x64-basierte Systeme<\/li>\n<li>Windows 10 Version 1909 f\u00fcr 32-Bit-Systeme<\/li>\n<li>Windows 10 Version 1909 f\u00fcr ARM64-basierte Systeme<\/li>\n<li>Windows 10 Version 1909 f\u00fcr x64-basierte Systeme<\/li>\n<li>Windows Server, Version 1903 (Server Core-Installation)<\/li>\n<li>Windows Server, Version 1909 (Server Core-Installation)<\/li>\n<\/ul>\n<p>Die Schwachstelle betrifft nicht Windows 7, 8, 8.1 oder \u00e4ltere Versionen. Auf den meisten modernen Computern mit automatischer Updateinstallation wird jedoch Windows 10 ausgef\u00fchrt. Daher ist es wahrscheinlich, dass viele Computer, sowohl zu Hause als auch in Unternehmen, anf\u00e4llig sind.<\/p>\n<h2><strong>Nutzen Angreifer CVE-2020-0796 aus?<\/strong><\/h2>\n<p>Laut Microsoft wurde die Schwachstelle CVE-2020-0796 noch nicht nachweisbar f\u00fcr Angriffe verwendet. Das Problem ist jedoch, dass noch kein Patch f\u00fcr CVE-2020-0796 vorhanden ist. Mittlerweile sind Informationen \u00fcber die Schwachstelle seit dem 10. M\u00e4rz \u00f6ffentlich zug\u00e4nglich, sodass Exploits jede Minute auftauchen k\u00f6nnen, sofern dies noch nicht geschehen ist.<\/p>\n<h2><strong>Wie sollte man sich verhalten?<\/strong><\/h2>\n<p><strong>Update vom 13. M\u00e4rz:\u00a0<\/strong>Microsoft hat ein Sicherheitsupdate f\u00fcr diese Schwachstelle ver\u00f6ffentlich. Laden Sie es <a href=\"https:\/\/portal.msrc.microsoft.com\/de-DE\/security-guidance\/advisory\/CVE-2020-0796\" target=\"_blank\" rel=\"noopener nofollow\">hier<\/a> herunter.<\/p>\n<p>Da kein Patch verf\u00fcgbar ist, sollten Sie die Sicherheitsanf\u00e4lligkeit schnellstm\u00f6glich schlie\u00dfen. Dies erfordert Umwege. Microsoft bietet Folgendes an, um den Exploit dieser Schwachstelle zu blockieren.<\/p>\n<h3>F\u00fcr SMB-Server:<\/h3>\n<ul>\n<li>Sie k\u00f6nnen den Exploit einer Schwachstelle mit einem PowerShell-Befehl blockieren:<\/li>\n<\/ul>\n<blockquote>\n<h3>Set-ItemProperty -Path \u201eHKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters\u201c DisableCompression -Type DWORD -Value 1 \u2013Force<\/h3>\n<\/blockquote>\n<h3>F\u00fcr SMB-Clients:<\/h3>\n<ul>\n<li>Wie bei WannaCry schl\u00e4gt Microsoft vor, den TCP-Port 445 der Enterprise-Perimeter-Firewall zu blockieren.<\/li>\n<\/ul>\n<p>Stellen Sie au\u00dferdem sicher, dass Sie eine zuverl\u00e4ssige Sicherheitsl\u00f6sung wie <a href=\"https:\/\/www.kaspersky.de\/small-to-medium-business-security?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Endpoint Security for Business<\/a> verwenden. Unter anderem wird ein Subsystem zur Pr\u00e4vention von Exploits verwendet, das Endger\u00e4te sch\u00fctzt, auch vor unbekannten Schwachstellen.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Microsoft hat einen Patch f\u00fcr die neu entdeckte kritische Schwachstelle CVE-2020-0796 im Netzwerkprotokoll SMB 3.1.1 ver\u00f6ffentlicht.<\/p>\n","protected":false},"author":700,"featured_media":23262,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,1848,3107,6,3108],"tags":[25,1498,2683,2521],"class_list":{"0":"post-23259","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"category-news","11":"category-smb","12":"tag-microsoft","13":"tag-schwachstellen","14":"tag-smb","15":"tag-wannacry"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/smb-311-vulnerability\/23259\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/smb-311-vulnerability\/19519\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/smb-311-vulnerability\/16096\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/smb-311-vulnerability\/8038\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/smb-311-vulnerability\/21128\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/smb-311-vulnerability\/19390\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/smb-311-vulnerability\/17873\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/smb-311-vulnerability\/22070\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/smb-311-vulnerability\/20809\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/smb-311-vulnerability\/27594\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/smb-311-vulnerability\/7903\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/smb-311-vulnerability\/33991\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/smb-311-vulnerability\/14461\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/smb-311-vulnerability\/14532\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/smb-311-vulnerability\/13158\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/smb-311-vulnerability\/11184\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/smb-311-vulnerability\/27846\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/smb-311-vulnerability\/25095\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/smb-311-vulnerability\/21803\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/smb-311-vulnerability\/27009\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/smb-311-vulnerability\/26848\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/schwachstellen\/","name":"Schwachstellen"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/23259","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=23259"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/23259\/revisions"}],"predecessor-version":[{"id":23283,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/23259\/revisions\/23283"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/23262"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=23259"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=23259"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=23259"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}