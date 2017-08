Man nehme einen preiswerten und nicht allzu schnellen Raspberry Pi, zwanzig Zeilen Python-Code und einen Windows-Server, der SMB-Zugriffe über das Internet erlaubt. Nach kurzer Zeit ist der Arbeitsspeicher des Servers so voll, dass dieser kommentarlos neu startet oder stehen bleibt. Und Microsoft will daran auch nichts ändern.

Sean Dillon und Zach Harding von RiskSense präsentierten ihre Entdeckung auf der DefCon in Las Vegas. In Anlehnung an den im Jahr 2009 von Robert Hansen vorgestellten Slowloris-Angriff nannten sie ihr Vorgehen SMBloris, denn in beiden Fällen kann ein einzelner Rechner einen mächtigen Server zum Absturz bringen. Die Anforderungen an die Hardware sind dabei überaus bescheiden und so wurde die Attacke mit einem Raspberry Pi demonstriert. Das Problem wurde von Dillon entdeckt, als der Sicherheitsforscher den Exploit-Code EternalBlue untersuchte, welcher zunächst von US-amerikanischen Geheimdiensten verwendet wurde und später Einzug in die Krypto-Trojaner WannaCry und NotPetya (ExPetr) fand.

Die Schwachstelle betrifft alle Windows-Versionen und ist mindestens zwanzig Jahre alt. Sie basiert darauf, dass der Angreifer zahlreiche Verbindungen zum Windows-Server öffnet und sich Speicherplatz für Daten reservieren lässt, die nie gesendet werden. Windows veranlasst diese Reservierungen im non-paged Pool des Kernels, also einem Speicherbereich, der sich nicht auf die Festplatte auslagern lässt. Und da Windows diese Reservierungen nicht mehr aufhebt, läuft der Arbeitsspeicher zügig voll. Am Ende ist nicht einmal mehr genug Speicher frei, um einen Bluescreen anzuzeigen. Daher kann ein einzelner Raspberry Pi einen Windows-Server mit 128 GiB oder mehr Arbeitsspeicher ausschalten.

Microsoft hatte 60 Tage Zeit, um auf die Schwachstelle zu reagieren. Die Reaktion fiel aber anders als erwartet aus: Die Redmonder bewerten dieses Szenario nicht als Sicherheitslücke, sondern als fehlerhafte Konfiguration. Demnach sollte grundsätzlich kein SMB-Zugriff aus dem Internet eingeräumt werden. Laut Dillon wäre es sehr aufwändig, diesen Uralt-Fehler im Grunddesign von SMB zu beheben. Als Workaround schlägt der Sicherheitsforscher vor, in der Firewall die Zahl der aktiven Verbindungen, welche einzelne IP-Adressen auf den SMB-Ports öffnen können, zu beschränken.