image

20-jaar oud SMB-lek kan Windows-servers laten crashen

woensdag 26 juli 2017, 15:34 door Redactie, 24 reacties

Een 20 jaar oud beveiligingslek in het SMB-protocol maakt het mogelijk om met een eenvoudige computer Windows-servers op afstand te laten crashen en een update van Microsoft zal niet verschijnen. De kwetsbaarheid is in alle Windows-versies sinds Windows 2000 aanwezig en is waarschijnlijk al veel eerder aan de Windowscode toegevoegd, zegt onderzoeker Sean Dillon van securitybedrijf RiskSense.

Samen met zijn collega Zach Harding zal hij aanstaande zaterdag tijdens de Defcon-hackerconferentie in Las Vegas de kwetsbaarheid openbaren. De onderzoekers noemen hun aanval SMBloris, een verwijzing naar de Slowloris-aanval van onderzoeker Robert Hansen uit 2009. Tijdens het onderzoek naar de EternalBlue-exploit van de NSA ontdekte Dillon de kwetsbaarheid. Via het beveiligingslek is het mogelijk om een stevige Windows-server met alleen een Raspberry Pi-computer te laten crashen.

Dillon waarschuwde Microsoft in juni van dit jaar, maar volgens de softwaregigant gaat het om een "moderate" kwetsbaarheid. Het lijkt erop dat Microsoft het probleem niet zal patchen. In een verklaring tegenover Threatpost laat een woordvoerder namelijk weten dat het beveiligingslek geen ernstige beveiligingsgevolgen heeft en er geen plannen voor een update zijn. Bedrijven krijgen het advies van Microsoft om toegang van het internet naar SMBv1 te blokkeren.

"De reden dat ze zeggen dat het een moderate probleem is, is omdat er veel verbindingen naar de server moeten worden geopend, maar je kunt het allemaal vanaf een enkele machine doen. Een Raspberry Pi kan de krachtigste server offline halen", stelt Dillon. Hij merkt op dat de aanval te gebruiken is om bestaande ddos-aanvallen te versterken. Daarnaast hoeven aanvallers niet meer over veel machines te beschikken. "Waarom zou je een ddos-aanval uitvoeren als je ook een dos-aanval van een enkele machine kunt uitvoeren. Je hebt geen botnet nodig om een Windows-server uit te schakelen." Tijdens hun presentatie zullen de onderzoekers een demonstratie van de aanval geven.

Reacties (24)
26-07-2017, 15:55 door _R0N_
MS heeft gelijk, SMBv1 moet gewoon uit staan dan heb je er geen last van..
Als je nu SMBv1 nog aan hebt staan vraag je erom..
26-07-2017, 16:48 door Bitwiper - Bijgewerkt: 26-07-2017, 16:49
Door _R0N_: MS heeft gelijk, SMBv1 moet gewoon uit staan dan heb je er geen last van..
Als je nu SMBv1 nog aan hebt staan vraag je erom..
Volgens https://threatpost.com/windows-smb-zero-day-to-be-disclosed-during-def-con/126927/ zou een Microsoft woordvoerder onder meer hebben verklaard:
For enterprise customers who may be concerned, we recommend they consider blocking access from the internet to SMBv1.
A) Je hebt onder een steen geleefd als je nog SMBv<any version> hebt open staan van -maar ook naar- Internet;
B) Dit soort uitspraken van Microsoft zijn gebruikelijk OOK als het uitschakelen van SMBv1 deze DoS kwetsbaarheid helemaal niet verhelpt (en hoe voorzichtig kan je iets zeggen, maar dat terzijde).

Waarop baseer jij dat je niet kwetsbaar bent met SMBv1 disabled?
26-07-2017, 16:54 door karma4 - Bijgewerkt: 26-07-2017, 21:30
Waarom geeft hij geen demo hoe lek os2 Warp ( nt bron) is of dat vms er niets van bakt. Dat een zwaar verouderd protocol door de oss gemeenschap aan een ander opgedrongen wordt is zwak. Net zo zwak is het om welk os dan ook niet goed te harden omdat het na setup enter enter yum get apt of wat dan ook wel goed genoeg is omdat het werkt.
26-07-2017, 17:42 door Anoniem
Door karma4: Waarom geeft hij geen demo hiel lek os2 Warp ( nt bron) is of dat vms er niets van bakt

OS/2 Warp is niet de bron is voor Windows NT.
26-07-2017, 18:49 door allestein
@Bitwiper

Waarop baseer jij dat je niet kwetsbaar bent met SMBv1 disabled?

Lezen! _R0N_ zegt dat als je nu nog SMBv1 gebruikt dat je dan dom bezig bent. Hij zegt nergens dat als jeSMBv1 NIET gebuikt, dat je dan onkwetsbaar bent.
26-07-2017, 20:22 door Anoniem
jeeej maandje verder, weer eentje.
26-07-2017, 20:45 door [Account Verwijderd]
[Verwijderd]
26-07-2017, 21:08 door Bitwiper
Door allestein: @Bitwiper

Waarop baseer jij dat je niet kwetsbaar bent met SMBv1 disabled?

Lezen! _R0N_ zegt dat als je nu nog SMBv1 gebruikt dat je dan dom bezig bent. Hij zegt nergens dat als jeSMBv1 NIET gebuikt, dat je dan onkwetsbaar bent.
Ik weet niet waar jij jouw brillen koopt, maar _RON_ schreef toch echt, onder het artikel met de kop "20-jaar oud SMB-lek kan Windows-servers laten crashen", het volgende (deels vet gemaakt door mij):
SMBv1 moet gewoon uit staan dan heb je er geen last van..

Of denk jij dat _RON_ bedoelt dat als je <vul maar in> uitzet, je geen last meer hebt van diezelfde <vul maar in>? Duh...
26-07-2017, 21:36 door Anoniem
Door _R0N_: MS heeft gelijk, SMBv1 moet gewoon uit staan dan heb je er geen last van..
Als je nu SMBv1 nog aan hebt staan vraag je erom..

Volgens de vermeldde link naar Threatpost klopt dat niet:

The vulnerability affects every version of the SMB protocol and every Windows version dating back to Windows 2000.
26-07-2017, 21:37 door Anoniem
"Toegevoegd aan code'... is het dan geen backdoor?
26-07-2017, 21:41 door karma4
Door Anoniem: OS/2 Warp is niet de bron is voor Windows NT.
De geschiedenis meebeleefd: https://en.wikipedia.org/wiki/OS/2 https://en.wikipedia.org/wiki/Windows_NT SMB V1 is van IBM.
Het gaat hier echt om 20 jaar iets meeslepen omdat anders plug play voor enkele gebruikers niet werkt.
26-07-2017, 22:42 door [Account Verwijderd] - Bijgewerkt: 27-07-2017, 10:55
[Verwijderd]
26-07-2017, 22:47 door Anoniem
Door karma4:
Door Anoniem: OS/2 Warp is niet de bron is voor Windows NT.
De geschiedenis meebeleefd: https://en.wikipedia.org/wiki/OS/2 https://en.wikipedia.org/wiki/Windows_NT SMB V1 is van IBM.
Het gaat hier echt om 20 jaar iets meeslepen omdat anders plug play voor enkele gebruikers niet werkt.

Wat ik zei heeft geen betrekking op SMBv1. Ik zei dat OS/2 Warp niet de bron is van Windows NT, dat kun je ook op Wikipedia terugvinden.

Hier wordt SMB beschreven: https://en.wikipedia.org/wiki/Server_Message_Block

SMB is ontworpen door een IBM-er in 1983, en werd door meerdere besturingssystemen gebruikt, o.a. een DEC implementatie die op Ultrix en VMS draaide. Microsoft heeft extensies toegevoegd en het op Windows gebruikt. Dat is de meest gebruikte toepassing. https://www.samba.org/samba/docs/myths_about_samba.html
27-07-2017, 10:07 door Anoniem
MS had SMBv1 ook default uit kunnen hebben staan:

http://webwereld.nl/security/100128-stop-met-gebruikers-de-schuld-te-geven-bij-security-problemen
27-07-2017, 11:54 door _R0N_
Door Bitwiper:
Door _R0N_: MS heeft gelijk, SMBv1 moet gewoon uit staan dan heb je er geen last van..
Als je nu SMBv1 nog aan hebt staan vraag je erom..
Volgens https://threatpost.com/windows-smb-zero-day-to-be-disclosed-during-def-con/126927/ zou een Microsoft woordvoerder onder meer hebben verklaard:
For enterprise customers who may be concerned, we recommend they consider blocking access from the internet to SMBv1.
A) Je hebt onder een steen geleefd als je nog SMBv<any version> hebt open staan van -maar ook naar- Internet;
B) Dit soort uitspraken van Microsoft zijn gebruikelijk OOK als het uitschakelen van SMBv1 deze DoS kwetsbaarheid helemaal niet verhelpt (en hoe voorzichtig kan je iets zeggen, maar dat terzijde).

Waarop baseer jij dat je niet kwetsbaar bent met SMBv1 disabled?

Omdat dit lek een issue is van SMBv1..

Je bent ook lek met BIND als DNS.. what's your point ?

De enige reden om SMBv1 nu nog open te hebben staan is omdat je samba mounts wilt delen met Linux, waar in de kernel v1 gewoon de standaard is (en net zo lek).
27-07-2017, 14:14 door Bati
Omdat dit lek een issue is van SMBv1..

_RON_

Heb jij meer informatie tot je beschikking? Hoe kom je tot de harde conclusie dat het alleen en SMBv1 issue is?

Het Threatpost artikel zegt
1. The vulnerability affects every version of the SMB protocol and every Windows version dating back to Windows 2000.
2. Dat een MS woordvoerder heeft gezegd:"“For enterprise customers who may be concerned, we recommend they consider blocking access from the internet to SMBv1."

Ik vind die twee tegenstrijdig. Of het is alleen SMBv1 of niet.
27-07-2017, 14:20 door Anoniem
Lees eens hier: https://whyistheinternetbroken.wordpress.com/2017/02/22/smb1-vuln-ontap/
SMB 1 = The Devil
27-07-2017, 14:59 door Bati
Door Anoniem: Lees eens hier: https://whyistheinternetbroken.wordpress.com/2017/02/22/smb1-vuln-ontap/
SMB 1 = The Devil

Dat is bekend, maar wat is je punt en waarom is die stelling relevant voor de 'nu' geopenbaarde kwetsbaarheid.
Ik lees veel aannames hierboven, maar niemand, tenzij iemand is voorzien van voorinformatie, die het echt zeker weet tot na de Defcon presentatie en zelfs dan verwacht ik nog wel betweters.
27-07-2017, 18:20 door Anoniem
@Bati,

Ik bedoel dat het voortborduren blijft op EternalBlue (waarschijnlijk zo genoemd vanwege de IBM code kwetsbaarheid vanaf 1983 binnen alle Windows "smaken"). Er wordt op de server stukken geheugen toegewezen aan gefragmenteerde verzoeken. Naar wat we weten van Slowloris, werkt SMBloris dan door het eerste gedeelte van EternalBlue exploit te gebruiken op grotere geheugenfragmenten. Er zullen nog wel wat verdere truukjes bij te pas zijn gekomen, maar dit is wel de essentie waarom het project zal gedraaid hebben.

Waarom zegt Microsoft nu SMBloris niet te gaan fixen? Waarschijnlijk omdat het niet te fixen valt. Met alle mogelijke licht afwijkende variaties op hetzelfde thema is dat onbegonnen werk waarschijnlijk. Uiteindelijk zou alleen een complete re-write een afdoende oplossing brengen.

Daarom kreeg NSA ook de "pnewed" prijs voor WannaCry, het is een multi-toepasbare kwetsbaarheid. Samba zal wel gelijkaardige problemen kennen, wellicht ook voor het bovenliggende DCE-RPC ?

Input parsing gescheiden houden van processing lijkt een oplossing via de zogeheten 'langsec' beveiligingsmethode. Bron info: Robert Graham.

We zijn dus nog niet van de NSA gedreven ellende verlost, zeker niet als achteraf zou blijken dat Microsoft altijd "hand in foot" met deze gasten heeft 'moeten' samenwerken. Misschien gebeurde dit samenwerken met NSA spooks wel tegen wil en dank, maar waarschijnlijk ook wel niet zo tegensputterend. Dat is weer iets dat we voorlopig wel nooit exact zullen weten.

Maar de technische analyses maakt het scenario wel steeds meer voorspelbaar en dat voorspelt voor M$ niet veel goeds evenals voor NSA en zeker niet voor ons eindgebruikers, we zijn steeds goed de pineut. De digitale wereld mag er wel erg blij mee zijn (iron.) en de Amerikaanse MS-fanboy zou zeggen: "Dan gebruik je het toch niet".
27-07-2017, 21:05 door Joep Lunaar
Door karma4:
Door Anoniem: OS/2 Warp is niet de bron is voor Windows NT.
De geschiedenis meebeleefd: https://en.wikipedia.org/wiki/OS/2 https://en.wikipedia.org/wiki/Windows_NT SMB V1 is van IBM.
Het gaat hier echt om 20 jaar iets meeslepen omdat anders plug play voor enkele gebruikers niet werkt.

Een protocol is iets anders dan de Implementatie ervan. Denkbaar is dat een protocol inherent geen veilige implementatie kan hebben, maar of dat ook opgaat voor SMBv1 weet ik niet. Wel weet ik dat het dichtzetten toegang vanaf het Internet via dit protocol slechts ten dele soelaas kan bieden: voor kwaadwillende op het LAN blijft het leuk spelen ...
27-07-2017, 21:27 door Joep Lunaar
Door _R0N_: ...
De enige reden om SMBv1 nu nog open te hebben staan is omdat je samba mounts wilt delen met Linux, waar in de kernel v1 gewoon de standaard is (en net zo lek).

Wat bedoel je ?
Een "samba mount" betreft een SMB client, niet de server. Het delen "met Linux" suggereert dat Linux geen SMB client kent voor de hogere versies van het SMB protocol. Niets is minder waar.
27-07-2017, 22:34 door Anoniem
@Joep Lunaar,

Juist voorbeeld
filer> options cifs.smb2.client.enable [code/]

De EternalBlue ellende was toch wel wat breder toepasbaar dan wat we aanvankelijk dachten.
28-07-2017, 07:51 door Bati
Door Anoniem: @Bati,

Ik bedoel dat het voortborduren ..."Dan gebruik je het toch niet".

Kijk aan zo'n stuk tekst heb ik nou veel meer dan aan alleen "SMB 1 = The Devil" :-).
28-07-2017, 14:50 door Anoniem
Maar we zitten met een opzettelijke verzwakking, waar NSA en gelijkgestemden achter lijken te zitten, met daardoor onvermijdelijke proliferatie als gevolg. Daarom is wat ze doen in wezen zo oer-dom. Daar moet beveiliging nu reeds en steeds op verdacht zijn.

Samba en het weghouden van 'een spiedende blik' daarop om zo te zeggen. Het juist configureren met in ogenschouw nemen van de eventuele uitwerkingen op en beperkingen voor de windows client bij voorbeeld bij het dichtzetten met
nt pipe support = no
ook voor samba -e (met encryptie) is al lang niet meer voldoende/afdoende.
Gebruik VPN.

Is wat dit hier betreft alles al op globale schaal gepatched?: http://thehackernews.com/2017/05/samba-rce-exploit.html
Start Samba server in interactive mode + debug print
sudo /home/ubuntu/samba-4.5.9/bin/smbd -i --debuglevel=10 --configfile=/etc/samba/smb.conf

Copy libpoc.so to target share
HAVE FUN!
exploit.py -t x.x.x.x -m /path/to/libpoc.so

POC-code source credits: IntezerLabs.

Waarom is men niet ouderwets als beveiligers bezig met het inlezen over dit soort zaken, zodat er een, let wel tijdelijke, dam hiertegen opgeworpen kan worden?

Ik heb meelij met die lieden die in een bedrijfsomgeving met overwegend doosjes de n00b-CEO elke dag een veilige toepassingsomgeving moeten verlenen/garanderen, die bestand is tegen Anglo-Amerikaanse bedrijfsspionage aanvallen etc

Hoe vaak ook lukt dit niet of is het slechts een kwestie van geluk, dat het niet lukte voor de 'spooks' van de andere kant van de visvijver of ook dichterbij (Frankfurt o.a.).

Heb je slechts 1 Windows server en verder een andere omgeving, die je goed kan dichttimmeren, ala, alhoewel ik hier zie dat de "degrading" ook zeker niet aan de linux omgeving voorbij zal gaan, maar al door aan het etteren is op de backbone zelfs.

De vader van het Internet (R.I.P.) heeft zich hier al in duidelijke bewoordingen over uitgelaten, maar hier zijn ook nog altijd lieden aanwezig, die dit onverantwoordelijke gedrag a la PATRIOT ACT of in de Nederlandse situatie, door nooit iets te mogen toetsen aan de Grondwet, ook graag zouden zien via "Stiekem & Co".

Later leggen ze natuurlijk nooit meer verantwoording af over wat ze inmiddels hiermee hebben uit- & aangericht, maar dat valt van lieden zonder moreel of geweten ook niet te verwachten.

Rare wereld eigenlijk waar je niet alles veilig wil houden, maar liever alles veilig voor jezelf, maar onveilig voor anderen. Zet dan een boa-constrictor of een alligator in je kamer, dat doet de crimineel namelijk ook.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.