CVE-2022-24508: SMB-Compression als Risiko für Domain-Controller und File-Server

    , 11.03.2022
    Tags: , ,

    SicherheitslückeDie Schwachstelle CVE-2022-24508 im SMB-Protokoll 3.1.1 versetzt Angreifer in die Lage, über das Netzwerk beliebigen Code auf den Zielrechnern auszuführen. Betroffen davon sind neuere Versionen von Windows 10 und von Windows Server. Neben einem Patch bietet Microsoft eine Behelfslösung für dieses Problem an.

    Die Sicherheitslücke hat eine CVSS-Bewertung von 8.8/7.7, was für eine erhebliche Gefährdung spricht. Sie bedarf demnach keines großes Aufwands und spezieller Kenntnisse, um ausgenutzt zu werden. Entsprechend wurde die Attack Complexity als "low" eingestuft. Im Gegensatz zu früheren SMB-Schwachstellen wie CVE-2020-0796 müssen Angreifer in diesem Fall aber authentifiziert sein.

    Neue Windows-Versionen betroffen

    Betroffen sind Rechner mit Windows 10 ab 20H2, Windows 11, Windows Server 20H2 und Windows Server 2022. Als Angriffsziele besonders interessant sind File-Server und Domänen-Controller. Letztere benötigen das SMB-Protokoll für den Zugriff auf SYSVOL und Netlogon, so dass man es auf DCs nicht deaktivieren kann.

    Microsoft lieferte einen Patch mit dem kumulativen Update für März 2022 aus. Anwender, die das Update noch testen, sollten in der Zwischenzeit die Schwachstelle durch eine Behelfslösung schließen.

    Workaround für CVE-2022-24508

    Diese besteht darin, die kürzlich eingeführte SMB-Komprimierung zu deaktivieren, weil sie die Ursache für die Sicherheitslücke ist. Dies erklärt auch, warum ältere Versionen des Betriebs­systems nicht betroffen. Mittels PowerShell lässt sich das Feature so abstellen:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" `
    -Name DisableCompression -Type DWORD -Value 1 -Force

    Auch wenn dadurch die unmittelbare Gefahr abwenden kann, sollte man alsbald das Update installieren, so dass man auch SMB Compression wieder nutzen kann.

    Zusätzlich empfiehlt Microsoft, in den Perimeter-Firewalls den TCP-Port 445 zu schließen, um Angriffe von außerhalb des Firmennetzes auf diese Komponente zu unterbinden.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links

    1 Kommentar

    Karl Wester-Ebb... (Besucher) sagt:
    14. März 2022 - 17:54

    Kann man die Lücke tatsächlich per se ausnutzen? Ich frage, da frühere Systeme vor den genannten Versionen noch kein SMB Compression kennen und wohl die wenigsten schon Windows Server 2022 als Domaincontroller oder Fileserver nutzen.

    Daher stelle ich mir vor, dass die Lücke vermutlich nur ausgenutzt werden kann wenn sowohl der SMB Client als auch der SMB Server SMB Compression nutzen könnten.

    Schön, dass Microsoft so schnell reagiert hat und das CVE nicht schon vor dem Patch veröffentlicht wurde.