Door Anoniem: Door Anoniem: Ook wel weer bizar dat er nergens staat dat het een best practice is om poort 445, 135 en 137-139 te blokkeren op je Internet firewall ook voor Outbound verkeer. Goede security hygiëne voorkomt al zoveel problemen.Helemaal correct! Eindelijk iemand met een zinvolle opmerking waar sommige iets aan kunnen hebben!!! Als je de informatie leest die hier in het artikel gegeven wordt, dan zou je beter kunnen vaststellen dat het dichtzetten van SMB/CIFS poorten op je firewall weliswaar een ONTZETTEND goed idee is (liever omgekeerd: In een On-prem omgeving waar NTLM nog welig tiert alles standaard dicht en alleen noodzakelijke poorten open), maar volstrekt geen enkele kant nog wal raakt in deze aanval. Je klikt nl op een geinfecteerd bestand wat je via Mail of via Web gedownload hebt (dus geen CIFS), die lokaal jouw NTLM hash pakt, en vervolgens deze via WEB verstuurd naar een aanvaller. Die kan daar vervolgens misbruik van maken door middel van replay attacks vanuit een (ander) reeds ...