Eine neue kritische Sicherheitslücke betrifft neben Windows Server 2008 auch Windows Vista und die RC-Version von Windows 7. Sie ermöglicht es Angreifern, bei betroffenen Systemen aus der Ferne eine Neustart zu provozieren sowie ggf. andere Funktionen auszuführen. Bis es einen Patch von Microsoft gibt, kann man sich nur mit der Holzhammermethode schützen.

Eigentlich ist heute mal wieder großer Patchday bei Microsoft. Aber die heftigste Lücken bleibt ungeschlossen. Ein Implementierungsfehler beim SMB2 -Protokoll ermöglicht es Angreifern, fremde Systeme anzuhalten oder zum Neustart zu bringen. Ob auch das Einschleusen spezifischeren Codes möglich sein könnte, ist derzeit unklar. SMB2 ist ein Protokoll, mit dem Windows das Freigeben und Teilen von Ressourcen wie Dateien und Druckern im Netzwerk ermöglicht. Fügt man in entsprechende Anfragen ein spezielles Sonderzeichen ein, so wird dieses nicht korrekt verarbeitet, was von Angreifern ausgenutzt werden kann. Leider ist für solche Anfragen keinerlei Authentifizierung erforderlich, so dass jeder eine solche Anfragen ausführen kann.

Betroffen sind von der Sicherheitlücke:

• Windows Server 2008
• Windows Vista
• Windows 7 RC

Definitiv nicht betroffen:

• Windows XP und ältere Windows-Versionen unterstützen nur das ältere SMB (ohne 2), was in diesem Fall sehr vorteilhaft ist.
• Windows 7 ist zumindest in der finalen RTM-Version ebenfalls nicht betroffen, da die Lücke Microsoft wohl schon rechtzeitig vor Veröffentlichung der RTM-Version bekannt war.

Wer also Vista oder Windows 7 RC verwendet, sollte sich mit dem Thema beschäftigen. Bis Microsoft einen Patch veröffenlicht, lässt sich das Problem umgehen. Betroffen ist ohnehin nur, wer die Datei- und Druckerfreigabe aktiviert hat. Wenn man darauf angewiesen ist, hat man allerdings nur die Wahl zwischen Pest und Cholera: Entweder man verzichtet vorläufig auf die Freigabefunktionen oder man geht das Risiko ein, Opfer eines Angriffs zu werden.

Die einfachste Möglichkeit für vorläufigen Schutz bietet die Windows-Firewall. Hier ist standardmäßig die Datei- und Druckfreigabe aktiviert. Wenn Sie dies deaktivieren, lässt die Firewall keine Datenpakete auf den problematischen Ports mehr durch. Allerdings stehen dann eben auch keinerlei Freigabefunktionen mehr zur Verfügung.

Wenn sich Ihre PCs hinter einem Router befinden, z. b. einem DSL-Router (nicht DSL-Modem!), besteht allerdings auch keine Gefahr. Router blockieren die betroffenen Ports ohnehin, solange sie nicht ausdrücklich anders konfiguriert werden. Eine Gefahr droht dann nur von PCs innerhalb des lokalen Netzwerks hinter dem Router. Wenn Sie von da keine Hackerangriffe erwarten, brauchen Sie nicht aktiv werden und können die Freigaben weiter nutzen.

Das (englische) Security Advisory von Microsoft erklärt alles nochmal ganz genau.