Crash-Exploit für Windows 7 und Server 2008 R2

Kurz nach dem Microsoft Patch Day November hat ein Sicherheitsforscher eine bis dahin nicht bekannte Schwachstelle in Windows 7 und Server 2008 R2 veröffentlicht. Die Implementierung des SMB-Protokolls (Datei- und Druckerfreigabe) in Microsofts neuesten Betriebssystemversionen enthält einen Fehler, der es einem Angreifer ermöglicht den Rechner zum Stillstand zu bringen. Das Einschleusen von Code scheint nicht möglich zu sein.

Der Sicherheitsforscher Laurent Gaffié hat in seinem Blog Beispiel-Code veröffentlicht, um seine Entdeckung zu untermauern. Er gibt an, dass eine Kontaktaufnahme mit einem speziell vorbereiteten SMB-Server zum Absturz des anfragenden Rechners führen kann. Der Server sendet ein zu kurzes Datenpaket als Antwort und schickt den Client damit in eine Endlosschleife. Nur nach rücksichtslosem Ausschalten (Stecker ziehen) kann der Rechner wieder zum Leben erweckt werden. Code lässt sich auf diese Weise jedoch nicht einschleusen und ausführen.

Die Kontaktaufnahme mit einem angriffsbereiten Server kann auch über das Web mit Hilfe des Internet Explorer (IE) initiiert werden. Dazu genügt es, wenn der IE einem SMB-Link in einer vorbereiteten Web-Seite folgt. Nach Angabe von Laurent Gaffié hat er Microsoft am 8. November informiert. Microsoft habe die Schwachstelle bestätigt.

Offenbar ist Microsoft jedoch der Ansicht, dies sei ein Problem der SMB-Spezifikation und nicht der Windows-Implementierung. Jedenfalls habe, so Gaffié, Microsoft versucht ihm klar zu machen, dass ein Security Bulletin nicht der geeignete Platz sei, um einen Fehler zu behandeln, der mehrere Hersteller betreffe. Eine offizielle Stellungnahme Microsofts liegt noch nicht vor. Um sich zumindest vor Angriffen dieser Art aus dem Internet zu schützen, sollten SMB-Pakete durch eine Firewall blockiert werden. Das machen handelsübliche DSL-Router und sonstige NAT-Router in aller Regel ohnehin. Gegen DoS-Attacken im lokalen Netzwerk hilft dies jedoch nicht. (PC Welt/mje)