image

NetBIOS nog steeds risico voor Windowscomputers

zaterdag 5 september 2015, 07:02 door Redactie, 9 reacties

Hoewel de NetBIOS-interface al meer dan 30 jaar bestaat is het nog steeds een probleem voor moderne Windowscomputers. NetBIOS is de afkorting voor Network Basic Input Output System en is een interface waarmee systemen in een lokaal netwerk kunnen communiceren.

Het probleem met NetBIOS is dat het geen enkele vorm van beveiliging gebruikt. Op een lokaal netwerk kan iedereen op een NetBIOS-verzoek antwoorden. Een dergelijk verzoek wordt verstuurd als er bijvoorbeeld een website wordt opgevraagd en het DNS (Domain Name System) niet werkt. In dit geval wordt NetBIOS als 'fallback' gebruikt. Een aanvaller op het netwerk kan het verzoek beantwoorden en zo gebruikers naar een andere website doorsturen, bijvoorbeeld een website met malware of een phishingsite.

Ook is het mogelijk om hostnames te imiteren en zo via NetBIOS inloggegevens te stelen of het verkeer van gebruikers, op versleuteld SSL-verkeer na, te onderscheppen en manipuleren. Volgens beveiligingsbedrijf Kleissner & Associates wordt NetBIOS nog steeds overal ondersteund. Zelfs wifi-routers in vliegtuigen routeren NetBIOS-pakketten. Het bedrijf adviseert gebruikers en beheerders dan ook om NetBIOS voor alle netwerkadapters uit te schakelen. Onlangs waarschuwde ook een andere expert voor de risico's van NetBIOS.

Image

Reacties (9)
05-09-2015, 09:19 door Anoniem
Een groot probleem is dat MS dit nog steeds automagisch aan zet op de netwerkkaart.

Een ander geintje waar ik gisteren tegen aan liep: als ik in Win Server 2012 een vast IP4 adres zet en de IP6 stack disable (om de attack surface te verkleinen) gaat de netwerk interface naar disconnected (dat vage public / home whatever spul wat sinds Vista ingebakken zit). De troubleshooter wil de kaart dan weer als DHCP client configureren. Waarom MS??
05-09-2015, 15:31 door Anoniem
In mijn netwerk thuis (3 x Windows 7 PC) heb ik de bijgaande instructies even getest en dus (op één PC) NetBIOS uitgezet: meteen geen verbinding meer tussen de netwerkshares onderling (ik heb geen centrale server). Ik zie meteen de andere PC's niet meer in het netwerk. Dat schiet niet op, NetBIOS maar weer aangezet.

Voor een groot serversysteem kan ik me dit goed voorstellen, maar voor gedeelde netwerkmappen heb je er niets aan. Zit je dan zoals ik in een gezin waarvan je zeker bent dat niemand kwade bedoelingen heeft, dan zie ik (op dit moment) het nut van uitzetten van de NetBIOS niet echt in.

Ik heb voorheen wel eens een test gedraaid, waarbij van buitenaf gekeken wordt wat er op mijn router openstaat en wat er eventueel binnen de PC's te benaderen valt: niets. Dus er is naar mijn idee geen gevaar dat de NetBios van buitenaf misbruikt wordt. Maar wie het beter weet mag het zeggen.

En misschien kan iemand vertellen op welke manier ik de netwerkopties zou moeten instellen, zodat NetBIOS uit mag staan en dan het netwerk (ingericht als 'bedrijfsnetwerk', Windows Workgroup) toch kan gebruiken? Misschien doe ik wel helemaal verkeerd (standaard instructies van Windwos gevolgd bij inrichten netwerk, alleen geen toegang van/naar openbare mappen). Verder 128 bits versleuteling en met wachtwoord beveiligd delen.
05-09-2015, 18:44 door Anoniem
Ja ik dacht ook al "maar NetBIOS wordt toch gebruikt voor bestanden delen??" maar had de test nog niet gedaan.
Kijk als je je netwerkkaart alleen gebruikt voor een internet verbinding maakt het niet uit, maar er zijn toch zat mensen
die deze functie wel gebruiken.
Beetje dom dat men dit niet aangeeft bij zo'n advies...
05-09-2015, 22:02 door Anoniem
Je bedoelt vast: "beetje dom dat Windows anno 2015 nog steeds op NetBIOS leunt voor het delen van bestanden". Maareh, zonder NetBIOS kan je toch gewoon via het IP adres bij de gedeelde bestanden? Of als je een router hebt die hostnamen uit de DHCP request in DNS zet ook nog via die naam, lijkt me?
05-09-2015, 23:05 door Anoniem
Door Anoniem 22:02: Maareh, zonder NetBIOS kan je toch gewoon via het IP adres bij de gedeelde bestanden?
Als ik zou weten hoe je dat in windows7home zou moeten doen... In de browser het IPadres intikken werkt in elk geval niet en een andere route heb ik niet kunnen vinden (wel in linux, maar dat zit niet op deze pc's). Met Netbios 'aan' kun je gewoon op de desktop op het symbool netwerk klikken en je krijgt in de workgroup aanwezige PC's te zien.

Door Anoniem:f als je een router hebt die hostnamen uit de DHCP request in DNS zet ook nog via die naam, lijkt me?
Heb niets van dien aard in m'n router gevonden. Lijkt me ook niet echt de makkelijkste methode. Laten we het vooral moeilijk maken als het makkelijk kan.

Neemt niet weg dat MS best een elegantere methode had mogen kiezen Misschien zit dat imiddels in Win10, maar dat komt er bij mij (in elk geval de eerste jaren) niet in.
06-09-2015, 21:14 door Anoniem
Looks like a copy from

https://www.linkedin.com/pulse/netbios-30-years-old-forgotten-backdoor-microsoft-windows-mertens
06-09-2015, 22:44 door Anoniem
Op de meeste routers - zeker je adsl / kabel modem - staat poort 139 dicht.
Wederom overdreven berichtgeving, ach ja, oud nieuws met je ook verzinnen
07-09-2015, 10:52 door Anoniem
De reacties hier geven aan dat klagers vaak nog geen eens weten waar ze het over hebben, behalve klagen dat iets niet werkt of niet goed is.

Zoek eerst eens wat uit voordat je gaat klagen... Of zeg niets...
Ook grappig dat zonder verdere kennis gewoon een setting wordt aangepast wat op een site staat beschreven, zonder verder over na te denken...

Voorbeeld : "dat vage public / home whatever spul wat sinds Vista ingebakken zit"..... (Zoek uit wat het is, het is echt handig!)

Als je geen DNS hebt (lees Naam/IP adres boekl), dan wordt als je gaat zoeken naar een andere computer NetBios gebruikt... Dus staat dit uit, dan kan je niet op naam meer zoeken....
Naar Netwerkshares gaan via IP adres blijft natuurlijk wel gewoon werken.

Even wat resources zoeken kan geen kwaad....
https://technet.microsoft.com/en-us/library/cc738412(v=ws.10).aspx
07-09-2015, 13:22 door Anoniem
Door Anoniem: Een groot probleem is dat MS dit nog steeds automagisch aan zet op de netwerkkaart.

Een ander geintje waar ik gisteren tegen aan liep: als ik in Win Server 2012 een vast IP4 adres zet en de IP6 stack disable (om de attack surface te verkleinen) gaat de netwerk interface naar disconnected (dat vage public / home whatever spul wat sinds Vista ingebakken zit). De troubleshooter wil de kaart dan weer als DHCP client configureren. Waarom MS??

Ik zit daar zelf ook mee te kloten, ben sinds twee maandjes over vanaf 2008 (r2), het lijkt er op dat er een heleboel requests via de ISATAP-tunnels gaan wanneer ik ipv6 interfaces aan heb staan, als ik ze dichtgooi krijg ik allemaal extra errors van vooral Schannel... het valt me daarnaast wel op dat aardig wat kb-draadjes lijken af te raden dat je IPv6 stacks überhaupt uitschakelt...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.