Suchen

Update: WannaCry für Linux-Systeme SambaCry ‑ Kritische Lücke im Samba-Server

Autor / Redakteur: Moritz Jäger / Peter Schmitz

Nach der globalen Ransomware-Attacke auf Windows-Systeme ist eine ähnliche Lücke in Samba aufgetaucht. Die sieben Jahre alte Schwachstelle erlaubt einen Zugriff auf das System, betroffen ist Samba ab Version 3.5.0. Updates stehen bereit.

Firmen zum Thema

In Samba steckt eine kritische Sicherheitslücke, die Würmern wie WannaCry einen Zugriff erlauben kann.
In Samba steckt eine kritische Sicherheitslücke, die Würmern wie WannaCry einen Zugriff erlauben kann.
(Bild: Samba.org)

Nach der Aufregung um die WannaCry-Ransomware hat sich jemand offensichtlich Samba genauer angesehen und wurde fündig: Die SMB-Implementierung in Linux enthält eine sieben Jahre alte kritische Lücke. Erfolgreiche Angreifer können darüber Schadcode ausführen, sie lässt sich zudem für eine WannaCry-ähnliche Infektionswelle nutzen. Entsprechend wurde die Schwachstelle im Web schnell „SambaCry“ getauft.

Für Metasploit existiert bereits ein passendes Exploit, auch via Nmap lassen sich verwundbare Server bereits finden. Betroffen sind nicht nur klassische Server, vielfach wird Samba auch auf NAS-Lösungen eingesetzt. Entsprechend hoch ist die Gefahr, dass ein WannaCry-ähnlicher Wurm die Schwachstelle nutzt und sich tief in die Netzwerke frisst. Dabei muss es sich nicht zwingend um eine Ransomware handeln, die Verbreitungs- und Infektionsfunktionen lassen sich auch auf „klassische“ Schadsoftware oder Spionagetools anpassen.

Gegenmaßnahmen

Von „SambaCry“ betroffen ist Samba in Version 3.5.0 und höher. Das Team hat bereits reagiert und Updates bereitgestellt. Für Samba 4.6.4, 4.5.10 und 4.4.14 wurden Updates ausgerollt, Patches für ältere Versionen sind auf der entsprechenden Webseite erhältlich.

Ein Workaround existiert ebenfalls: Die der smb.conf-Datei muss im Bereich [global] um den Parameter „nt pipe support = no“ erweitert werden. Dabei können aber einige Funktionen in der Zusammenarbeit mit Windows-Clients verloren gehen.

Update vom 12.06.2017: Kriminelle nutzen diese Schwachstelle inzwischen aktiv aus. Das berichten Experten von Kaspersky Lab sowie unabhängige Sicherheitsforscher. Die Hacker installieren die Malware CPUminer auf den befallenen Systemen und nutzen anschließend die verfügbaren Ressourcen, um die Monero-Kryptowährung zu berechnen. Linux-Admins sollten auf zwei Dateien achten, INAebsGB.so sowie cblRWuoCc.so. Wer sein Samba-System noch nicht gepatcht hat, sollte dies schnellstmöglich nachholen.

(ID:44714617)

Über den Autor

 Moritz Jäger

Moritz Jäger

IT Journalist