Windows: Stoppcode-0x50 srv.sys durch EternalBlue-Exploit verursacht

Microsoft hat ein Sicherheitsbulletin zu SMBv1.0 veröffentlicht. Die schwerwiegendste der Sicherheitsanfälligkeiten kann Remotecodeausführung ermöglichen, wenn ein Angreifer speziell gestaltete Nachrichten an einen Microsoft Server Message Block 1.0 (SMBv1)-Server sendet.

Sie können feststellen, dass dieses Problem auftritt, indem Sie den Stack auf dem Speicherabbild analysieren und diese spezifischen Zeilen finden:
 

ffffd001`078b0700 fffff801`71252360 nt!KiPageFault+0x12f
ffffd001`078b0890 fffff801`712522a5 srv!SrvOs2FeaToNt+0x48
ffffd001`078b08c0 fffff801`7127369b srv!SrvOs2FeaListToNt+0x125
ffffd001`078b0910 fffff801`7127c8ba srv!SrvSmbOpen2+0xc3
ffffd001`078b09b0 fffff801`7127fb2e srv!ExecuteTransaction+0x2ca
ffffd001`078b09f0 fffff801`7120d84f srv!SrvSmbTransactionSecondary+0x40b
ffffd001`078b0a90 fffff801`7120da20 srv!SrvProcessSmb+0x237
ffffd001`078b0b10 fffff801`7124cac8 srv!SrvRestartReceive+0x114
ffffd001`078b0b50 fffff800`13591306 srv!WorkerThread+0x5248
ffffd001`078b0bd0 fffff800`1317f280 nt!IopThreadStart+0x26
ffffd001`078b0c00 fffff800`131d89c6 nt!PspSystemThreadStartup+0x58
ffffd001`078b0c60 00000000`00000000 nt!KiStartSystemThread+0x16 

Betroffene Systeme:
Windows Server 2008
, Windows Server 2008 R2
, Windows Server 2012, Windows Server 2012
R2
, Windows Server 2016
, Windows 7
, Windows 8
, Windows 8.1
, Windows 10
 

.

Microsoft hat einen Blogbeitrag über SMB1 veröffentlicht, in dem erklärt wird, dass es veraltet ist und nicht auf den neuesten Betriebssystemversionen verwendet werden sollte.

Da dieses Problem durch einen Exploit verursacht wird, ist es erforderlich, ein Antivirenprogramm auf dem betroffenen System auszuführen.

Problemumgehungen

Die folgenden Workarounds können in Ihrer Situation hilfreich sein:

• Deaktivieren von SMBv1

  Für Kunden, die Windows Vista und höher ausführen

  Weitere Informationen finden Sie im Microsoft Wissensdatenbank-Artikel 2696547.

  Alternative Methode für Kunden mit Windows 8.1 oder Windows Server 2012 R2 und höher

  Für Client-Betriebssysteme:

  1. Öffnen Sie die Systemsteuerung, klicken Sie auf Programme und klicken Sie dann auf Windows-Features aktivieren oder deaktivieren.
  2. Deaktivieren Sie im Fenster Windows-Features das Kontrollkästchen SMB1.0/CIFS File Sharing Support und klicken Sie dann auf OK, um das Fenster zu schließen.
  3. Starten Sie das System neu.
      

  Für Serverbetriebssysteme:

  1. Öffnen Sie Server Manager, klicken Sie auf das Menü Verwalten und wählen Sie Rollen und Features entfernen aus.
  2. Deaktivieren Sie im Fenster Features das Kontrollkästchen SMB1.0/CIFS File Sharing Support und klicken Sie dann auf OK, um das Fenster zu schließen.
  3. Starten Sie das System neu.
      

  Auswirkungen der Umgehung von Problemen. Das SMBv1-Protokoll ist auf dem Zielsystem deaktiviert.
  SMBv1.0 bietet Unterstützung für Legacy-Systeme (Windows XP, Windows Vista, Windows 2000, Windows 2003, Windows 2003 R2).

  So machen Sie die Problemumgehung rückgängig. Gehen Sie die Schritte zur Problemumgehung zurück und aktivieren Sie das Kontrollkästchen SMB1.0/CIFS-Dateifreigabeunterstützung, um die SMB1.0/CIFS-Dateifreigabe-Supportfunktion auf einen aktiven Status zurückzusetzen.