MS heeft gelijk, SMBv1 moet gewoon uit staan dan heb je er geen last van..
Als je nu SMBv1 nog aan hebt staan vraag je erom..

Volgens https://threatpost.com/windows-smb-zero-day-to-be-disclosed-during-def-con/126927/ zou een Microsoft woordvoerder onder meer hebben verklaard: A) Je hebt onder een steen geleefd als je nog SMBv<any version> hebt open staan van -maar ook naar- Internet;
B) Dit soort uitspraken van Microsoft zijn gebruikelijk OOK als het uitschakelen van SMBv1 deze DoS kwetsbaarheid helemaal niet verhelpt (en hoe voorzichtig kan je iets zeggen, maar dat terzijde).

Waarop baseer jij dat je niet kwetsbaar bent met SMBv1 disabled?

Waarom geeft hij geen demo hoe lek os2 Warp ( nt bron) is of dat vms er niets van bakt. Dat een zwaar verouderd protocol door de oss gemeenschap aan een ander opgedrongen wordt is zwak. Net zo zwak is het om welk os dan ook niet goed te harden omdat het na setup enter enter yum get apt of wat dan ook wel goed genoeg is omdat het werkt.

OS/2 Warp is niet de bron is voor Windows NT.

@Bitwiper


Lezen! _R0N_ zegt dat als je nu nog SMBv1 gebruikt dat je dan dom bezig bent. Hij zegt nergens dat als jeSMBv1 NIET gebuikt, dat je dan onkwetsbaar bent.

jeeej maandje verder, weer eentje.

Ik weet niet waar jij jouw brillen koopt, maar _RON_ schreef toch echt, onder het artikel met de kop "20-jaar oud SMB-lek kan Windows-servers laten crashen", het volgende (deels vet gemaakt door mij):
Of denk jij dat _RON_ bedoelt dat als je <vul maar in> uitzet, je geen last meer hebt van diezelfde <vul maar in>? Duh...

Volgens de vermeldde link naar Threatpost klopt dat niet:

"Toegevoegd aan code'... is het dan geen backdoor?

De geschiedenis meebeleefd: https://en.wikipedia.org/wiki/OS/2 https://en.wikipedia.org/wiki/Windows_NT SMB V1 is van IBM.
Het gaat hier echt om 20 jaar iets meeslepen omdat anders plug play voor enkele gebruikers niet werkt.

Wat ik zei heeft geen betrekking op SMBv1. Ik zei dat OS/2 Warp niet de bron is van Windows NT, dat kun je ook op Wikipedia terugvinden.

Hier wordt SMB beschreven: https://en.wikipedia.org/wiki/Server_Message_Block

SMB is ontworpen door een IBM-er in 1983, en werd door meerdere besturingssystemen gebruikt, o.a. een DEC implementatie die op Ultrix en VMS draaide. Microsoft heeft extensies toegevoegd en het op Windows gebruikt. Dat is de meest gebruikte toepassing. https://www.samba.org/samba/docs/myths_about_samba.html

MS had SMBv1 ook default uit kunnen hebben staan:

http://webwereld.nl/security/100128-stop-met-gebruikers-de-schuld-te-geven-bij-security-problemen

Omdat dit lek een issue is van SMBv1..

Je bent ook lek met BIND als DNS.. what's your point ?

De enige reden om SMBv1 nu nog open te hebben staan is omdat je samba mounts wilt delen met Linux, waar in de kernel v1 gewoon de standaard is (en net zo lek).

_RON_

Heb jij meer informatie tot je beschikking? Hoe kom je tot de harde conclusie dat het alleen en SMBv1 issue is?

Het Threatpost artikel zegt
1. The vulnerability affects every version of the SMB protocol and every Windows version dating back to Windows 2000.
2. Dat een MS woordvoerder heeft gezegd:"“For enterprise customers who may be concerned, we recommend they consider blocking access from the internet to SMBv1."

Ik vind die twee tegenstrijdig. Of het is alleen SMBv1 of niet.

Lees eens hier: https://whyistheinternetbroken.wordpress.com/2017/02/22/smb1-vuln-ontap/
SMB 1 = The Devil

Dat is bekend, maar wat is je punt en waarom is die stelling relevant voor de 'nu' geopenbaarde kwetsbaarheid.
Ik lees veel aannames hierboven, maar niemand, tenzij iemand is voorzien van voorinformatie, die het echt zeker weet tot na de Defcon presentatie en zelfs dan verwacht ik nog wel betweters.

@Bati,

Ik bedoel dat het voortborduren blijft op EternalBlue (waarschijnlijk zo genoemd vanwege de IBM code kwetsbaarheid vanaf 1983 binnen alle Windows "smaken"). Er wordt op de server stukken geheugen toegewezen aan gefragmenteerde verzoeken. Naar wat we weten van Slowloris, werkt SMBloris dan door het eerste gedeelte van EternalBlue exploit te gebruiken op grotere geheugenfragmenten. Er zullen nog wel wat verdere truukjes bij te pas zijn gekomen, maar dit is wel de essentie waarom het project zal gedraaid hebben.

Waarom zegt Microsoft nu SMBloris niet te gaan fixen? Waarschijnlijk omdat het niet te fixen valt. Met alle mogelijke licht afwijkende variaties op hetzelfde thema is dat onbegonnen werk waarschijnlijk. Uiteindelijk zou alleen een complete re-write een afdoende oplossing brengen.

Daarom kreeg NSA ook de "pnewed" prijs voor WannaCry, het is een multi-toepasbare kwetsbaarheid. Samba zal wel gelijkaardige problemen kennen, wellicht ook voor het bovenliggende DCE-RPC ?

Input parsing gescheiden houden van processing lijkt een oplossing via de zogeheten 'langsec' beveiligingsmethode. Bron info: Robert Graham.

We zijn dus nog niet van de NSA gedreven ellende verlost, zeker niet als achteraf zou blijken dat Microsoft altijd "hand in foot" met deze gasten heeft 'moeten' samenwerken. Misschien gebeurde dit samenwerken met NSA spooks wel tegen wil en dank, maar waarschijnlijk ook wel niet zo tegensputterend. Dat is weer iets dat we voorlopig wel nooit exact zullen weten.

Maar de technische analyses maakt het scenario wel steeds meer voorspelbaar en dat voorspelt voor M$ niet veel goeds evenals voor NSA en zeker niet voor ons eindgebruikers, we zijn steeds goed de pineut. De digitale wereld mag er wel erg blij mee zijn (iron.) en de Amerikaanse MS-fanboy zou zeggen: "Dan gebruik je het toch niet".

Een protocol is iets anders dan de Implementatie ervan. Denkbaar is dat een protocol inherent geen veilige implementatie kan hebben, maar of dat ook opgaat voor SMBv1 weet ik niet. Wel weet ik dat het dichtzetten toegang vanaf het Internet via dit protocol slechts ten dele soelaas kan bieden: voor kwaadwillende op het LAN blijft het leuk spelen ...

Wat bedoel je ?
Een "samba mount" betreft een SMB client, niet de server. Het delen "met Linux" suggereert dat Linux geen SMB client kent voor de hogere versies van het SMB protocol. Niets is minder waar.

@Joep Lunaar,

Juist voorbeeld

Kijk aan zo'n stuk tekst heb ik nou veel meer dan aan alleen "SMB 1 = The Devil" :-).

Maar we zitten met een opzettelijke verzwakking, waar NSA en gelijkgestemden achter lijken te zitten, met daardoor onvermijdelijke proliferatie als gevolg. Daarom is wat ze doen in wezen zo oer-dom. Daar moet beveiliging nu reeds en steeds op verdacht zijn.

Samba en het weghouden van 'een spiedende blik' daarop om zo te zeggen. Het juist configureren met in ogenschouw nemen van de eventuele uitwerkingen op en beperkingen voor de windows client bij voorbeeld bij het dichtzetten met ook voor samba -e (met encryptie) is al lang niet meer voldoende/afdoende.
Gebruik VPN.

Is wat dit hier betreft alles al op globale schaal gepatched?: http://thehackernews.com/2017/05/samba-rce-exploit.html
POC-code source credits: IntezerLabs.

Waarom is men niet ouderwets als beveiligers bezig met het inlezen over dit soort zaken, zodat er een, let wel tijdelijke, dam hiertegen opgeworpen kan worden?

Ik heb meelij met die lieden die in een bedrijfsomgeving met overwegend doosjes de n00b-CEO elke dag een veilige toepassingsomgeving moeten verlenen/garanderen, die bestand is tegen Anglo-Amerikaanse bedrijfsspionage aanvallen etc

Hoe vaak ook lukt dit niet of is het slechts een kwestie van geluk, dat het niet lukte voor de 'spooks' van de andere kant van de visvijver of ook dichterbij (Frankfurt o.a.).

Heb je slechts 1 Windows server en verder een andere omgeving, die je goed kan dichttimmeren, ala, alhoewel ik hier zie dat de "degrading" ook zeker niet aan de linux omgeving voorbij zal gaan, maar al door aan het etteren is op de backbone zelfs.

De vader van het Internet (R.I.P.) heeft zich hier al in duidelijke bewoordingen over uitgelaten, maar hier zijn ook nog altijd lieden aanwezig, die dit onverantwoordelijke gedrag a la PATRIOT ACT of in de Nederlandse situatie, door nooit iets te mogen toetsen aan de Grondwet, ook graag zouden zien via "Stiekem & Co".

Later leggen ze natuurlijk nooit meer verantwoording af over wat ze inmiddels hiermee hebben uit- & aangericht, maar dat valt van lieden zonder moreel of geweten ook niet te verwachten.

Rare wereld eigenlijk waar je niet alles veilig wil houden, maar liever alles veilig voor jezelf, maar onveilig voor anderen. Zet dan een boa-constrictor of een alligator in je kamer, dat doet de crimineel namelijk ook.