Error: no file object

WannaCry nutzt Sicherheitslücke in Samba

Eine SMB-Lücke unter Windows-Systemen war das offene Scheunentor für die Verbreitung des Verschlüsselungstrojaner WannaCry. Mittlerweile existiert seit sieben Jahren ebenfalls eine vergleichbare Lücke in dem Open-Source Samba-Server. Sind Linux-Systeme einer Kryptotrojaner-Infektion ausgesetzt?

Die erst vor Kurzem entdeckte, sieben Jahre alte Lücke im File-Server-Dienst Samba (Version 3.5.0 aufwärts) ermöglicht Angreifern das Ausführen von beliebigem Schadcode (CVE-2017-7494). Eine ähnliche Lücke auf Windows-Seite der Software unterstützte maßgeblich die Ausbreitung des Verschlüsselungstrojaners WannaCry. Dashalb wurde die aktuelle Lücke in der Linux-Community mit SambaCry getauft. Mittlerweile existieren Updates für Samba, die inzwischen von vielen Linux-Distributionen bereits verteilt werden. Da die Software allerdings auch auf vielen Embedded-Systemen und NAS-Geräten läuft, für die auf absehbare Zeit keine Patches erscheinen werden, sind viele Systeme weiterhin verwundbar.

Ist das eigene Netz also gefährdet?

Für die Lücke existiert ein Proof-of-Concept, sowie ein Modul für das Pentesting-Toolkit Metasploit und sie ist relativ einfach für Angriffe ausnutzbar. Somit kann davon ausgegangen werden, dass die Lücke sehr bald im großen Stil für Angriffe missbraucht wird. Administratoren sollten deshalb so schnell wie möglich alle Samba-Installationen in ihren Netzen auf den aktuellen Stand bringen. Ist das nicht möglich, sollten die verwundbaren Geräte aus dem Netz entfernt werden. Falls auch diese beiden Optionen nicht in Frage kommen, hilft nur, die verwundbaren Geräte so abzuschotten, dass sie auf keinen Fall aus dem öffentlichen Netz erreichbar sind.

Aber selbst im LAN sind verwundbare NAS-Boxen und Server ein Problem. Der WannaCry-Wurm hatte vor allem deswegen für einen solchen Wirbel gesorgt, da er sich in internen Firmennetzen von einem verwundbaren Rechner zum nächsten vermehrt hatte. Ein hypothetischer Linux-Schädling könnte sich, einmal ins Netz gelangt, wie WannaCry von einem verwundbarem Samba-System zum nächsten hangeln. Besonders brisant an diesem Szenario ist, dass Fileserver die perfekten Angriffsziele für Verschlüsselungstrojaner darstellen.

So findet man verwundbare Systeme

Sicherheitsforscher arbeiten bereits mit Hochdruck an Tools, um verwundbare Systeme in den eigenen Netzen aufzuspüren. Mit diesem Nmap-Script lassen sich etwa verwundbare Samba-Versionen aufspüren. Der Entwickler arbeitet nach eigener Aussage bereits an einer verbesserten Version, die per Metasploit-Modul prüft, ob der entsprechende Samba-Server auch wirklich angreifbar ist.