image

Amerikaanse overheid waarschuwt voor mogelijk smb-lek

woensdag 18 januari 2017, 16:50 door Redactie, 8 reacties

Het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) heeft een waarschuwing afgegeven voor een mogelijke kwetsbaarheid in Server Message Block (SMB). Smb is een protocol voor het op afstand toegankelijk maken van bestanden, printers en seriële poorten.

Een groep hackers genaamd Shadow Brokers plaatste onlangs een lijst met allerlei exploits op internet die van de Amerikaanse geheime dienst NSA afkomstig zouden zijn. Het zou onder ander om een vermeend zero day-lek in SMB gaan waarvoor nog geen beveiligingsupdate beschikbaar is. Hiervoor vroegen de Shadow Brokers een bedrag van 250 bitcoin (205.000 euro). Details over het lek werden echter niet gegeven. US-CERT adviseert beheerders dan ook om verschillende 'best practices' met betrekking tot SMB op te volgen.

Zo wordt aangeraden om SMB v1 uit te schakelen en ervoor te zorgen dat SMB niet vanaf buiten toegankelijk is door tcp-poort 445 en udp-poorten 137 en 138 te blokkeren. Verder wordt aangeraden voor alle "boundary devices" poort 139 dicht te zetten. De overheidsinstantie waarschuwt gebruikers en systeembeheerders dat het uitschakelen of dichtzetten van SMB voor problemen kan zorgen doordat er geen toegang meer is tot gedeelde bestanden, data of apparaten. "De voordelen van deze maatregel moeten worden afgewogen tegen de potentiele verstoringen voor gebruikers."

Reacties (8)
18-01-2017, 16:55 door karma4 - Bijgewerkt: 18-01-2017, 16:56
Smb v1 20 tot 30 jaar oud afkomstig van ibm. Genoeg bekende issues. Samba versies zijn er op gebaseerd tenzij je de laatste versie (Redhat) hebt. Hoeveel wordt dat gebruikt in een strikt veilige configuratie?
18-01-2017, 17:42 door Erik van Straten
Ik neem aan dat op het "superveilige" W10 het SMB v1 protocol geheel niet meer beschikbaar is en indien wel, standaard niet staat ingeschakeld. Of?
18-01-2017, 18:17 door Anoniem
Zijn er dan echt mensen die SMB vanaf internet toegankelijk hebben staan?
18-01-2017, 19:51 door karma4
Door Erik van Straten: Ik neem aan dat op het "superveilige" W10 het SMB v1 protocol geheel niet meer beschikbaar is en indien wel, standaard niet staat ingeschakeld. Of?
Geen idee Erik, dat mag jij uitzoeken. Ik vermoed dat het aan staat omdat anders al die andere apparaten het niet meer doen. Dan Is het schandelijk van ms dat ze uitzetten en de keus niet aan de eigenaar over laten. Net zoals velen rustig met admin domain admin en root werken omdat het hun machine is.
Vervolgens zijn privilegd accounts van elk soort verboden want te complex. Vergeet het system group memory blok niet wasr maar plaats voor 16 is. Al het andere valt gewoon weg. Ook achterhaald maar je komt het nog te vaak tegen.
Ik maak me meer druk en zorgen over security in big data settings dan een werkstation. Dat werkstation komt er maar bij als ux interface.
18-01-2017, 21:01 door mcb
Door Erik van Straten: Ik neem aan dat op het "superveilige" W10 het SMB v1 protocol geheel niet meer beschikbaar is en indien wel, standaard niet staat ingeschakeld. Of?
Die is dus aanwezig en staat standaard aan.
Had het als test uit gezet, kon gelijk niet meer bij mijn op mijn router aangesloten usb-schijf (fungeert als NAS) komen.
18-01-2017, 22:04 door karma4 - Bijgewerkt: 19-01-2017, 07:32
Door mcb:
Die is dus aanwezig en staat standaard aan.
Had het als test uit gezet, kon gelijk niet meer bij mijn op mijn router aangesloten usb-schijf (fungeert als NAS) komen.
Heel logisch het smb v1 protocol wordt in linux standaard gebruikt voor die koppeling naar buiten. Je zult het eerst daar moeten upgraden naar v2. Voor zover ik het teruggevonden bij redhat,is dat pas sinds enige jaren bij hun beschikbaar. Dan moeten al die device leveranciers nog flink aan de slag om alles bijgewerkt te krijgen als ze al een distributie met v2 in beeld hebben. Het werkt toch waarom zouden ze.
18-01-2017, 23:52 door Erik van Straten
Toeval? Uit [1]:
Enhanced system stability when connecting via the SMB protocol.
Er is trouwens ook net een nieuwe versie van Samba uit [2].

[1] https://tweakers.net/downloads/39865/synology-dsm-602-build-84519.html
[2] https://www.samba.org/samba/history/samba-4.5.4.html
19-01-2017, 09:21 door Anoniem
Microsoft adviseert ook al lang om smb1 uit te zetten:
https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/

Paul
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.