Computerbeveiliging - Hoe je bad guys buiten de deur houdt

SMBv1 uitschakelen nodig op gepatched systeem?

14-07-2017, 13:17 door Anoniem, 12 reacties
Ik vraag me af of het nodig is om SMB 1.0/CIFS File Share Support uit te schakelen op Win10 installaties, als deze wel gepatched zijn met MS17-010 patch en deze systemen niet naar de buitenwereld open staan met poort 445. Is het argument om dit alsnog uit te zetten, alleen met het oog op toekomstige exploits?

Wat ik ervan lees kan het weinig kwaad om het uit te schakelen, zolang SMB 2 enabled is. Ik lees ook dat Microsoft adviseert om niet langer SMBv1 te gebruiken. Maar waarom schakelt Microsoft deze SMB v1 feature standaard in bij nieuwe Windows 10 installaties?
Reacties (12)
14-07-2017, 15:02 door packetguy
De vraag die je jezelf kan stellen is: Waarom zou ik risico blijven lopen door SMBv1 te gebruiken?

Voor hetzelfde geld word er een andere vulnerability gevonden en ben je weer kwetsbaar totdat deze gepatched is.

Als je geen legacy systemen draait die hier afhankelijk van zijn zeg ik uitzetten die handel.
14-07-2017, 15:22 door Anoniem
Windows 10 is niet kwetsbaar voor Wannacry, maar er wordt wel aanbevolen om SMBv1 uit te zetten.
Vooral natuurlijk als je het ook nog eens niet gebruikt. Hoe:
https://www.saotn.org/disable-smbv1-windows-10-windows-server/
14-07-2017, 15:23 door Briolet
Door Anoniem: IMaar waarom schakelt Microsoft deze SMB v1 feature standaard in bij nieuwe Windows 10 installaties?

Ik heb weinig verstand van windows, maar de herkenning van andere machines op naam, binnen een lan, gebeurd via SMB1. Als je dat uitzet, moet je een eigen dns server op je lan gebruiken om bij andere machines te komen, of moet je IP adressen gebruiken.
14-07-2017, 15:31 door Anoniem
Door Briolet:
Door Anoniem: IMaar waarom schakelt Microsoft deze SMB v1 feature standaard in bij nieuwe Windows 10 installaties?

Ik heb weinig verstand van windows, maar de herkenning van andere machines op naam, binnen een lan, gebeurd via SMB1. Als je dat uitzet, moet je een eigen dns server op je lan gebruiken om bij andere machines te komen, of moet je IP adressen gebruiken.

Daar zijn tegenwoordig al andere technieken voor.
14-07-2017, 16:01 door Anoniem
Mijn ervaring op een legacy installatie was dat na uitschakelen van SMB1 remote registry access door KiX en
remote opvragen/killen van processen met pstools niet meer werkten. Weer aangezet dus.
14-07-2017, 16:09 door Anoniem
Geeft alleen problemen op verouderde windows xp / server 2003 installaties.
14-07-2017, 16:19 door Bitwiper
Door Anoniem: Maar waarom schakelt Microsoft deze SMB v1 feature standaard in bij nieuwe Windows 10 installaties?
Zie https://www.bleepingcomputer.com/news/microsoft/microsoft-to-disable-smbv1-in-windows-starting-this-fall/

Door Anoniem: Ik vraag me af of het nodig is om SMB 1.0/CIFS File Share Support uit te schakelen op Win10 installaties, als deze wel gepatched zijn met MS17-010 patch en deze systemen niet naar de buitenwereld open staan met poort 445.
De server service (srv.sys) is niet alleen buggy voor SMBv1 en deze gebruikt by default ook nog steeds TCP poort 139.

Waarom zet je de server service niet gewoon uit (startup op disabled)? Ik zie in verkenner geen netwerk shares, maar of dat komt doordat de "Computer Browser" service automatisch uitgaat als je de server service uitzet, of dat dit komt doordat ik ook SSDP en UPnP uitzet, weet ik niet - maar dat beetje ongemak heb ik graag over voor een veiliger systeem.
14-07-2017, 17:22 door Anoniem
Er zijn veel meer redenen om geen SMBv1 meer te gebruiken, zoals uitgebreid beschreven is door de 'product owner' van onder andere SMB bij Microsoft: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
14-07-2017, 22:27 door [Account Verwijderd]
[Verwijderd]
15-07-2017, 10:50 door karma4
Door Neb Poorten: Alles wat je niet gebruikt uitschakelen! Daarmee verklein je het aanvalsoppervlak.
Gangbaar advies voor elk os elke omgeving nist hardening iso27k etc.
28-07-2017, 14:01 door Anoniem
SMBv1 uitschakelen nodig op gepatched systeem?

Keer de vraag eens om; is het nodig om SMBv1 in te schakelen op het systeem. Daarnaast zal een patch nooit beschermen tegen toekomstige 0days (welke bij kwaadwillenden reeds bekend kunnen zijn).

Stel je voor dat je deze vraag gesteld had, voor het bekend worden van de laatste kwetsbaarheid, en het verschijnen van de malware die deze exploit, en de patch om het gat te dichten.

Had je je dan veilig gevoelt, omdat de kwetsbaarheid, en de noodzaak van een patch, nog onbekend waren ?
28-07-2017, 15:40 door Anoniem
Waar bestaat dit gevaar nog? "SMB/NETBIOS NULL Session op domain controllers".

Restrictie in het register:
HKEY\SYSTEM\CurrentControlSet\Control\Lsa:
RestrictAnonymous = 1
Restrict AnonymousSAM = 1
EveryoneIncludesAnonymous = 0
NULL verbindingen kunnen door een ieder worden misbruikt om gevoelige informatie van server te krijgen.

Zijn er nog systemen met deze onveiligheid uit 2015 server omgevingen?

Zie het gebruik van Intellitamper bij voorbeeld.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.