Update: WannaCry für Linux-Systeme

Kritische Lücke im Samba-Server

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

In Samba steckt eine kritische Sicherheitslücke, die Würmern wie WannaCry einen Zugriff erlauben kann.
In Samba steckt eine kritische Sicherheitslücke, die Würmern wie WannaCry einen Zugriff erlauben kann. (Bild: Samba.org)

Nach der globalen Ransomware-Attacke auf Windows-Systeme ist eine ähnliche Lücke in Samba aufgetaucht. Die sieben Jahre alte Schwachstelle erlaubt einen Zugriff auf das System, betroffen ist Samba ab Version 3.5.0. Updates stehen bereit.

Nach der Aufregung um die WannaCry-Ransomware hat sich jemand offensichtlich Samba genauer angesehen und wurde fündig: Die SMB-Implementierung in Linux enthält eine sieben Jahre alte kritische Lücke. Erfolgreiche Angreifer können darüber Schadcode ausführen, sie lässt sich zudem für eine WannaCry-ähnliche Infektionswelle nutzen. Entsprechend wurde die Schwachstelle im Web schnell „SmabaCry“ getauft.

WannaCry Ransomware infiziert tausende Systeme

Update: NSA Exploit sorgt für weltweite Attacke

WannaCry Ransomware infiziert tausende Systeme

15.05.17 - Die Ransomware WannaCrypt0r hat weltweit tausende Systeme infiziert. Geholfen hat ein NSA-Exploit sowie eine längst gepatchte Schwachstelle in Windows SMB. Neben privaten Systemen waren Unternehmen, Krankenhäuser und die Deutsche Bahn durch den Trojaner betroffen. Neueste Informationen deuten auf weitere Varianten der Malware hin. lesen

Für Metasploit existiert bereits ein passendes Exploit, auch via Nmap lassen sich verwundbare Server bereits finden. Betroffen sind nicht nur klassische Server, vielfach wird Samba auch auf NAS-Lösungen eingesetzt. Entsprechend hoch ist die Gefahr, dass ein WannaCry-ähnlicher Wurm die Schwachstelle nutzt und sich tief in die Netzwerke frisst. Dabei muss es sich nicht zwingend um eine Ransomware handeln, die Verbreitungs- und Infektionsfunktionen lassen sich auch auf „klassische“ Schadsoftware oder Spionagetools anpassen.

Gegenmaßnahmen

Betroffen ist Samba in Version 3.5.0 und höher. Das Team hat bereits reagiert und Updates bereitgestellt. Für Samba 4.6.4, 4.5.10 und 4.4.14 wurden Updates ausgerollt, Patches für ältere Versionen sind auf der entsprechenden Webseite erhältlich.

Ein Workaround existiert ebenfalls: Die der smb.conf-Datei muss im Bereich [global] um den Parameter „nt pipe support = no“ erweitert werden. Dabei können aber einige Funktionen in der Zusammenarbeit mit Windows-Clients verloren gehen.

Update vom 12.06.2017: Kriminelle nutzen diese Schwachstelle inzwischen aktiv aus. Das berichten Experten von Kaspersky Lab sowie unabhängige Sicherheitsforscher. Die Hacker installieren die Malware CPUminer auf den befallenen Systemen und nutzen anschließend die verfügbaren Ressourcen, um die Monero-Kryptowährung zu berechnen. Linux-Admins sollten auf zwei Dateien achten, INAebsGB.so sowie cblRWuoCc.so. Wer sein Samba-System noch nicht gepatcht hat, sollte dies schnellstmöglich nachholen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44714617 / Sicherheitslücken)