EternalBlue war gestern, CoronaBlue-Schwachstelle bedroht MS-Systeme

November 06 2019-Forescout Chris Sherry -5-min

Chris Sherry, Regional Vice President EMEA bei Forescout

Als Microsoft letzte Woche während seines Patch-Days eine neue Schwachstelle verkündete, verhallte diese Information. Doch sie ist nicht zu unterschätzen und verdient einen weiteren tiefgreifenden Blick. Die Schwachstelle erhielt die Nummer CVE-2020-0796, wird allerdings auch SMBGhost oder CoronaBlue genannt. Sie ist remote – also von außen –  ausnutzbar. Das Problem wurde in einer Mitteilung des US-CERT im Anschluss an Microsofts Sicherheitshinweis eskaliert.

Obwohl es keine bekannten Exploits gibt und Hindernisse für eine Ausnutzung existieren, haben mehrere Sicherheitsforscher das Problem als eines mit hohem langfristigen Wirkungspotenzial gemeldet. Besonders perfide, sie kann aus der Ferne ausgenutzt werden.  Laut Microsoft-Beratung betrifft das Problem das Betriebssystem Windows 10 und die Windows-Server-Versionen 1903 und 1909. Die betroffene Implementierung des Windows-Protokolls ist der Microsoft Server Message Block 3.1.1 (SMBv3), der über den TCP-Port 445 läuft.

Die Ausnutzung dieser Sicherheitslücke öffnet die Systeme für einen „wurmähnlichen“ Angriff, was bedeutet, dass man sich leicht von Opfer zu Opfer bewegen könnte. Im Folgenden haben wir fünf Fakten über die Auswirkungen von SMBGhost / CoronaBlue / CVE-2020-0796 auf Unternehmen zusammengestellt:

  • Insgesamt sind 6 Prozent der verwalteten Windows-Geräte anfällig und lassen den TCP-Port 445 offen.
  • 20 Prozent der Windows 10-Geräte in Unternehmen laufen unter den Windows-Versionen 1903 und 1909, die zu den anfälligen Versionen zählen.
  • Auf fast 30 Prozent der Unternehmensendpoints läuft Windows 10 als Enterprise-Version, was es zur beliebtesten Windows-Version in Unternehmen macht.
  • Windows 10 Professional (6,9 %) ist die drittbeliebteste Windows-Version in Unternehmen (Windows 7 steht an zweiter Stelle).
  • Auf einer vernachlässigbar kleinen Anzahl von Geräten läuft die anfällige Version des Windows Servers (1909 und 1903). Letztlich handelt es sich hier um den Fall, dass älter potenziell tatsächlich besser ist. Auf den meisten Windows-Server-Instanzen laufen ältere Versionen von Windows, die von diesem Problem verschont bleiben.

Die Forescout-Sicherheitsforscher gehen momentan davon aus, dass das Thema auch in den kommenden Monaten relevant bleiben wird. Denn mehr und mehr Angreifer werden versuchen, die Lücke auszunutzen. Untenstehend wird in der Graphik angegeben, wie viele Geräte gefunden wurden, die einen Patch benötigen.

 

Abbildung 1: Prozentuale Anzahl der Windows-Geräte mit Betriebssystemen, die nun gepatcht werden müssen.

Die Verwaltung von SMBv3 ist letztlich Neuland, deshalb werden die meisten Unternehmen unvorbereitet getroffen. Die Unternehmen litten im Allgemeinen unter technischen Herausforderungen im Zusammenhang mit der Kontrolle von SMBv1. Unter anderem bei dem WannaCry-Vorfall führte dies zu einer verspäteten Reaktion. Nun werden Probleme mit SMBv3 Unternehmen verunsichern, sie werden sich fragen, was zu tun ist und wie das Problem auf Protokollebene kontrolliert werden kann. Positiv ist, dass wir nicht erwarten, dass die langfristigen Auswirkungen auch nur annähernd so verheerend sein werden wie die von WannaCry oder NotPetya:

  • Microsoft hat die Schwachstelle selbst intern entdeckt, was mehr Zeit zur Vorbereitung auf den Zero-Day ermöglicht.
  • Begrenzte Nutzung der SMB-Protokoll-Implementierung 3.1.1.
  • Der allgemein verbesserte Zustand der Geräteverwaltung für moderne Windows-Geräte im Unternehmen im Vergleich zum Zustand von Windows ab 2017, als sich WannaCry verbreitete.
  • Die höhere Rate, mit der neuere Windows-Geräte für automatische Updates aktiviert werden.
  • Technische Barrieren für die Ausutzung im Vergleich zu WannaCry.

Einige Sicherheitsforscher weisen nun auf die hohen technischen Hürden bei der vollständigen Ausnutzung der Umgehung von Kernel Address Space Layout Randomization (KASLR) hin. Dagegen hat das Magazin ZDNet herausgefunden, dass das Auffinden des Fehlers trivial ist und PoC-Exploits wahrscheinlich bald gefunden werden. In der Zwischenzeit müssen alle Sicherheitsverantwortlichen technische Sicherheitskontrollen entwickeln und freigeben, um das Problem zu identifizieren und abzuschwächen.

Zur Behebung der Schwachstelle empfiehlt es sich eine Lösung zu implementieren, die bei der Detektion von Gefahren mit drei vitalen Funktionen, nämlich Sichtbarkeit, Kontrolle und Segmentierung, unterstützt.

  • Sichtbarkeit: Wichtig ist, Sichtbarkeit zu gewinnen, um betroffene Windows 10 und Windows Server-Instanzen in Unternehmensumgebungen anhand der Versionsnummer zu identifizieren und zu klassifizieren. Eine Möglichkeit zur konkreten Umsetzung ist die Aufnahme der Versionsnummer des Windows-Betriebssystems in die Konfigurationsmanagement-Datenbank (CMDB).
  • Kontrolle: Windows-Systeme mit anfälligen Registrierungsschlüsseleinstellungen müssen identifiziert werden. Es sollten Registrierungseigenschaften abgerufen und geändert werden, um die Schwachstelle zu mindern – eine solche Lösung kann anstelle des Power Shell-Workarounds von Microsoft für die gesamte verwaltete Geräteflotte verwendet werden.
  • Segmentierung: Die Lösung sollte zur Überwachung von SMB-Datenströmen über den TCP-Port 445 genutzt werden. Diese Datenströme sollten niemals das Unternehmensintranet verlassen sowie auf Anomalien überwacht und über die Segmentierung gesteuert werden. Bei der Erkennung von Verstößen sollten Richtlinien zur Geräteeinschränkung erlassen und umgesetzt werden, um das Risiko für das Netzwerk zu mindern und seitliche Bewegungen zu verhindern.
  • Empfehlung von Microsoft: SMBv3-Komprimierung deaktivieren und damit eine Seitwärtsbewegung von SMB-Datenströmen verhindern, die von außen in das Netzwerk hinein oder aus diesem hinaus gehen. Forescout kann direkt verwendet werden, um diese Empfehlung als technische Sicherheitsrichtlinie umzusetzen

Fazit

Die Fähigkeit, Netzwerkprotokolle wie SMBv3 zu kontrollieren, ist heutzutage ein Muss für die Unternehmenssicherheit. In Unternehmensumgebungen ist es die Transparenz der Netzwerkprotokolle, die es einfacher machen die Sicherheitsrichtlinien durchzusetzen und die Ost-West-Kommunikation des SMB-Verkehrs zu entschärfen. Microsoft hat einen Sicherheitshinweis mit Einzelheiten zur Deaktivierung der SMBv3-Komprimierung veröffentlicht, um Server vor Angriffsversuchen zu schützen.