Sicherheitsforscher von RiskSense haben mit nur 20 Zeilen Python-Code eine Denial-of-Service-Attacke gegen das SMB-Protokoll geschrieben und das Verfahren im Rahmen der DefCon vorgestellt. Ziel von SMBloris ist es, durch Füllen des Arbeitsspeichers das angegriffene System zum Absturz zu bringen.

Nach Aussagen der Forscher funktioniert für alle Windows- und SMB-Versionen das Prinzip und ist verhältnismäßig einfach. Auf einem SMB-Freigaben bereitstellenden Server eröffnet ein einzelner Angreifer SMB-Sitzungen für welche auf dem Server jeweils große Buffer, die nie gesendet werden, angekündigt werden. Windows reserviert den Arbeitsspeicher und wartet auf die Daten.

Das Eröffnen beliebig vieler Verbindungen ist für den Angreifer nicht belastend – ein einzelner Raspberry Pi reicht für die Attacke. Dagegen lassen sich auf dem Server schnell bis zu 128 GB Arbeitsspeicher füllen und damit ist das System bis zum Neustart außer Gefecht.

Bevor sie die Methode im Rahmen der DefCon-Konferenz vorstellten, gaben die RiskSense-Forscher Microsoft 60 Tage Zeit. Der Hersteller äußerte sich gegenüber Threatpost und schloss einen Patch aus. Es handele sich demnach bei übers Internet veröffentlichten SMB-Freigaben um einen Konfigurationsfehler und Administratoren wird geraten, diese Verbindungen in der Firewall zu blockieren und nur im lokalen Netz bereitzustellen.

(mt, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE