Door karma4: Door Anoniem: .... Want firewalls (en NAT routers) zijn kansloos zodra een netwerk niet vertrouwd meer is. Kijkend naar het aantal succesvolle phishingaanvallen (zie bijv. .....
Routers en firewalls zijn zo lek als een mandje. Wonderlijk genoeg komen doe niet van ms
Lul niet, op elke Windows PC draait, out of the box, een
MICROSOFT firewall.
Uit
https://www.microsoft.com/en-us/safety/pc-security/firewalls-whatis.aspx:
You should have a hardware firewall (such as a router) to protect your network, but you should also use a software firewall on each computer to help prevent the spread of a virus in your network if one of the computers becomes infected.
Je hebt wel volkomen gelijk dat deze in Windows ingebouwde
MICROSOFT firewall waardeloos is bij virussen (want die verspreiden niet via netwerkprotocollen) maar ook waardeloos is in het geval van computerwormen zoals Blaster, Code Red, Nimda, Slammer, Netsky, Bagle, Mydoom en nu WanaCry (of andere SMB wormen die de komende maanden zullen volgen) omdat die via poorten lopen die deze "firewall" standaard open zet. Voor geen enkele andere softwarefabrikant hebben ooit zoveel wormen bestaan, terwijl het merendeel van de besturingssystemen die
JIJ altijd basht vaak direct aan internet hangen en sinds de Morris worm (1988) gehackte systemen vooral zijn terug te voeren op default of onveilige wachtwoorden of op PHP gebaseerde crap.
Maar
ON TOPIC is hier het zoveelste lek in Windows dat via het netwerk jarenlang uitgebuit kon worden door de NSA met nu een worm erachteraan. En ik stel een m.i. terechte vraag hoe we permanent van deze ellende afkomen!
Volgens Microsoft los je dat op met een perimeter firewall (die jij waardeloos vindt maar die Microsoft vroeger zelf ook maakte), zie
https://technet.microsoft.com/en-us/library/security/ms06-040.aspxBlock TCP ports 139 and 445 at the firewall
These ports are used to initiate a connection with the affected component. Blocking TCP ports 139 and 445 at the firewall will help protect systems that are behind that firewall from attempts to exploit this vulnerability.
Vergelijkbaar advies geeft Microsoft heel vaak, o.a. in:
https://technet.microsoft.com/en-us/library/security/ms02-045.aspx (Unchecked Buffer in Network Share Provider),
https://technet.microsoft.com/en-us/library/security/ms03-039.aspx (DCOM/RPCSS: Block UDP ports 135, 137, 138, 445 and TCP ports 135, 139, 445, 593 at your firewall and disable COM Internet Services (CIS) and RPC over HTTP, which listen on ports 80 and 443, on the affected systems),
https://technet.microsoft.com/en-us/library/security/ms04-011.aspx (LSASS: Block the following at the firewall:UDP ports 135, 137, 138, and 445, and TCP ports 135, 139, 445, and 593; All unsolicited inbound traffic on ports greater than 1024; Any other specifically configured RPC port)
https://technet.microsoft.com/en-us/library/security/ms04-029.aspx (RPC runtime library),
https://technet.microsoft.com/en-us/library/security/ms05-051.aspx (MSDTC and COM+: Block the following at the firewall: UDP ports 135, 137, 138, and 445, and TCP ports 135, 139, 445, and 593. If installed, COM Internet Services (CIS) or RPC over HTTP, which listen on ports 80 and 443),
https://technet.microsoft.com/en-us/library/security/ms06-008.aspx (Although WebDAV uses TCP port 80 for outbound communication, TCP ports 139 and 445 can be used inbound to attempt to connect to this service and try to exploit this vulnerability. Blocking them at the firewall can help prevent systems that are behind that firewall from attempts to exploit this vulnerability),
https://technet.microsoft.com/en-us/library/security/ms06-040.aspx (server service),
https://technet.microsoft.com/en-us/library/security/ms07-058.aspx (RPC),
https://technet.microsoft.com/en-us/library/security/ms08-067.aspx (server service),
https://technet.microsoft.com/en-us/library/security/ms09-050.aspx (SMBv2 lek),
https://technet.microsoft.com/en-us/library/security/ms10-020 (SMB client lek),
https://technet.microsoft.com/en-us/library/security/ms10-095.aspx (WebDav lek),
https://technet.microsoft.com/en-us/library/security/ms11-003.aspx (webclient),
https://technet.microsoft.com/en-us/library/security/ms11-025.aspx (MFC insecure library loading),
https://technet.microsoft.com/en-us/library/security/ms11-057.aspx (telnet handler),
https://technet.microsoft.com/en-us/library/security/ms12-014.aspx (Indeo codec),
https://technet.microsoft.com/en-us/library/security/ms12-074.aspx (.NET Framework Insecure Library Loading),
https://technet.microsoft.com/en-us/library/security/ms14-023.aspx (MS Office),
https://technet.microsoft.com/en-us/library/security/ms13-036.aspx (Win32k font parsing - ook MS13-053 en MS13-054),
https://technet.microsoft.com/en-us/library/security/ms14-023.aspx (MS Office) en nog minstens 3 andere MS14 bulletins,
En ook daarna gaat dit verder (roep maar als je meer urls wilt).
Het SMB protocol is zelfs
zo onveilig dat
MICROSOFT adviseert om een firewall tussen je PC en Internet in te zetten die
uitgaand SMB verkeer blokkeert:
https://support.microsoft.com/en-us/help/3185535/guidelines-for-blocking-specific-firewall-ports-to-prevent-smb-traffic-from-leaving-the-corporate-environment. Waarom zou dat verkeer (waarin wachtwoordhashes kunnen worden gelekt gedeeld met potentieel niet vertrouwde systemen, of erger, een ring-0 exploit mogelijk was via antwoordpakketjes naar DFS en SMB clients, zie
https://blogs.technet.microsoft.com/srd/2011/06/14/assessing-the-risk-of-the-june-security-updates/)
wel velig genoeg zijn op een "intern" netwerk?
Microsoft protocollen, met name SMB en alles wat daarmee te maken heeft (CIFS, mailslots or named pipes (RPC over SMB), Server (File and Print Sharing), Group Policy, Net Logon, Distributed File System (DFS), Terminal Server Licensing, Print Spooler, Computer Browser, Remote Procedure Call Locator, Fax Service, Indexing Service, Performance Logs and Alerts, Systems Management Server, License Logging Service etc.) zijn aantoonbaar ongeschikt voor een niet-vertrouwd netwerk - en Microsoft zegt dit zelf.
Mijn bijdrage heeft dus
NIETS te maken met bashing, maar betreft een aantoonbaar groot risico door een veel te groot aanvalsoppervlak. En het gaat niet alleen om SMB-achtige diensten, maar ook om WPAD, NBNS, UPNP, Teredo en andere tunnelingprotocollen die allemaal standaard aan staan. Waarom luisteren end-user PC's met Windows standaard op zoveel poorten? Waarom moet elke Windows PC een server zijn? Dit is vragen om rampen zoals WanaCry.