image

Microsoft waarschuwt voor kritiek beveiligingslek in SMBv3

woensdag 11 maart 2020, 10:55 door Redactie, 21 reacties

Microsoft waarschuwt organisaties voor een kritiek beveiligingslek in SMBv3 waardoor een aanvaller op afstand code op de SMB-server of SMB-client kan uitvoeren en een beveiligingsupdate is nog niet beschikbaar. "Microsoft is bekend met een remote code execution-kwetsbaarheid in de manier waarop het Microsoft Server Message Block 3.1.1 (SMBv3) protocol bepaalde verzoeken verwerkt", aldus een advisory van Microsoft.

Server Message Block (SMB) is een protocol voor het op afstand toegankelijk maken van bestanden, printers en seriële poorten. Door het versturen van een speciaal geprepareerd pakket naar een SMBv3-server kan een aanvaller willekeurige code op de server kunnen uitvoeren. De aanvaller hoeft hierbij niet over een wachtwoord te beschikken om op de server zelf in te kunnen inloggen. Daarnaast is het mogelijk om SMB-clients over te nemen die verbinding met een kwaadaardige SMBv3-server maken. Een aanvaller zou bijvoorbeeld eerst de server kunnen aanvallen en vervolgens alle clients die verbinding maken infecteren.

Volgens sommige berichten zou een worm zich via het lek kunnen verspreiden, zo laat het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit weten. De organisatie wijst naar een blogpost van Cisco over de maandelijkse patchdinsdag van Microsoft waarin details over het beveiligingslek stonden vermeld. Inmiddels is de blogpost aangepast en de verwijzing naar de kwetsbaarheid verwijderd. Een aantal uren na de publicatie verscheen de advisory van Microsoft online.

Het CERT/CC stelt dat op dit moment geen praktische oplossing voorhanden is. Als tijdelijke oplossing wordt aangeraden om SMBv3-compressie uit te schakelen. Tevens wordt aangeraden om uitgaande SMB-verbindingen (TCP-poort 445 voor SMBv3) van het lokale netwerk naar het WAN te blokkeren. Ook moeten SMB-verbindingen van het internet geen verbinding met het bedrijfsnetwerk kunnen maken. Microsoft adviseert organisaties om beveiligingsupdates voor de kwetsbaarheid meteen te installeren zodra die beschikbaar komen. Wanneer dit is, is nog onbekend.

Image

Reacties (21)
11-03-2020, 11:12 door Anoniem
O dus DAAROM moeten we ineens allemaal SMBv1 uitfaseren "want onveilig en SMBv3 is veel veiliger"??

Ik vind de omschrijving wel vreemd. Zit de fout in het protocol? Verderop wordt er iets meer detail gegeven en gaat
het blijkbaar om een fout in de compressie/decompressie, wellicht een buffer overflow als gevolg van het sturen van
een pakketje wat "heel goed de-comprimeert". Maar dat is dan toch geen fout in het protocol maar in de implementatie?
Ik zou dan spreken over een fout in de SMBv3 service, niet in het SMBv3 protocol zoals Microsoft doet.
Als de fout in het protocol zit dan zouden dus andere implementaties ook kwetsbaar moeten zijn. Is dat het geval?
11-03-2020, 11:36 door Erik van Straten
Als tijdelijke oplossing wordt aangeraden om SMBv3-compressie uit te schakelen.
Die tijdelijke oplossing (beschreven in https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005) beschermt alleen computers (zowel servers als gewone PC's) waarop de server service draait, niet computers (zowel servers als gewone PC's) die als client verbindingen maken - vanuit de workstation service.

Tenzij je wilt dat een gewone PC als server benaderd kan worden (bijv. omdat deze shares heeft die anderen moeten kunnen benaderen, of als je via SMB management wilt doen en/of back-ups maken), is het mijn ervaring dat je de server service probleemloos kunt disablen op end-user PC's.

De workstation service (die kwetsbaar is en waar geen workaround voor lijkt te bestaan) heb je echter nodig op clients om shares op servers te kunnen mounten, alsmede voor AD functionaliteit (waaronder het ophalen en uitvoeren van group policies).

In https://support.microsoft.com/en-us/help/3185535/preventing-smb-traffic-from-lateral-connections beschrijft Microsoft hoe je, gebruikmakend van de de ingebouwde firewall, kunt voorkomen dat clients SMB verbindingen maken met andere dan vertrouwde servers (waaronder AD domain controllers). Daarmee kun je de risico's in een domein met potentieel gecompromitteerde computers beperken (dit vereist wel een boel onderhoud, bijv. als je nieuwe servers toevoegt of bijv.de IP-adressen van oudere servers hergeberuikt voor iets dat minder betrouwbaar is).
11-03-2020, 12:15 door Anoniem
Ah dan hebben we hier geluk, we gebruiken namelijk nog SMBv1..
11-03-2020, 12:42 door souplost
Toch maar even een Samba server of is het een protocol probleem?
11-03-2020, 13:09 door SPer
Door Anoniem: Ah dan hebben we hier geluk, we gebruiken namelijk nog SMBv1..

:-)
11-03-2020, 13:27 door Joep Lunaar
zie https://advisories.ncsc.nl/advisory?id=NCSC-2020-0189
11-03-2020, 15:52 door Anoniem
Door souplost: Toch maar even een Samba server of is het een protocol probleem?
"Toch maar even een Samba server"? Hoe had je het "even" vervangen van een bestaande share infrastructuur in gedachte?
11-03-2020, 16:21 door Anoniem
Door Anoniem:
Door souplost: Toch maar even een Samba server of is het een protocol probleem?
"Toch maar even een Samba server"? Hoe had je het "even" vervangen van een bestaande share infrastructuur in gedachte?
Had je nou maar DFS gebruikt he?
11-03-2020, 16:38 door karma4
Als de server al gecompromitteerd is, dan heb je een groter probleem.
Het leest alsof de clients door een gecompromiteerde server met een aanval overgenomen kunnen worden.
Neem nu LDAP Samba als server, die is gehackt en dan kun je werkstations gaan overpakken.
Lijk me dat als LDAP overgenomen is je eerst nog wel een groter probleem hebt.
11-03-2020, 16:59 door Anoniem
Het vreemde vind ik dat men alleen aangeeft dat Server Core editities impacted is. Dat lijkt me wat vreemd.
11-03-2020, 17:20 door Anoniem
Door karma4: Als de server al gecompromitteerd is, dan heb je een groter probleem.
Het leest alsof de clients door een gecompromiteerde server met een aanval overgenomen kunnen worden.
Neem nu LDAP Samba als server, die is gehackt en dan kun je werkstations gaan overpakken.
Lijk me dat als LDAP overgenomen is je eerst nog wel een groter probleem hebt.

LDAP heeft niets met Samba te maken. toegang tot een LDAP server betekent ook niet dat alle werkstations powned zijn meteen. je post weer totale onzin.
11-03-2020, 17:22 door Anoniem
Door karma4: Als de server al gecompromitteerd is, dan heb je een groter probleem.
Het leest alsof de clients door een gecompromiteerde server met een aanval overgenomen kunnen worden.
Neem nu LDAP Samba als server, die is gehackt en dan kun je werkstations gaan overpakken.
Lijk me dat als LDAP overgenomen is je eerst nog wel een groter probleem hebt.

Klopt, als AD weer eens alle data lekt ook, net als Exchange en RDP
11-03-2020, 19:55 door Anoniem
Door souplost: Toch maar even een Samba server
Werkt natuurlijk niet. Nog afgezien samba ook de nodige ellende heeft gehad.

Door Anoniem: Het vreemde vind ik dat men alleen aangeeft dat Server Core editities impacted is. Dat lijkt me wat vreemd.
Dit viel mij ook al op. Is dit specifiek voor core only en de Desktop Experience versie niet? Ik weet wel dat je niet kunt switchen tussen deze versies.

Door karma4: Als de server al gecompromitteerd is, dan heb je een groter probleem.
Het leest alsof de clients door een gecompromiteerde server met een aanval overgenomen kunnen worden.
Klopt inderdaad.

Neem nu LDAP Samba als server, die is gehackt en dan kun je werkstations gaan overpakken.
Lijk me dat als LDAP overgenomen is je eerst nog wel een groter probleem hebt.
Is dat niet het geval met iedere server waarmee een client verbinding maakt? Maar het hangt nog steeds af van je protocol al, of je geinfecteerd kunt worden.
11-03-2020, 22:16 door souplost
Door Anoniem:
Door souplost: Toch maar even een Samba server
Werkt natuurlijk niet. Nog afgezien samba ook de nodige ellende heeft gehad.
Natuurlijk werkt het wel. Authentiseert via AD. Wat geweest is is geweest, we zullen het maar niet over de ellende hebben die windows heeft gehad toch?
12-03-2020, 05:59 door Anoniem
Kwestie van WAN-LAN netwerken, dus configureer een gecertificeerde IPsec IKEv1 VPN Tunnel,
let wel dynamisch via DHCP. Barracuda CloudGen Firewall.

Na het in de lucht tillen ervan, even de VPN tunnel checken, geeft ie twee keer groen, "up traffic control up".
OK en gaan met die banaan.

#sockpuppet
12-03-2020, 07:15 door Anoniem
Door Anoniem: Het vreemde vind ik dat men alleen aangeeft dat Server Core editities impacted is. Dat lijkt me wat vreemd.

Niet vreemd.
Probleem wordt pas geintroduceerd in Windows 10 build 1903, dus ook Windows Server Build 1903...
De laatste GUI versie is 1809 (Windows Server 2019).

Windows Server 1903 is volgens mij alleen Core editie.

Dus denk dat daarom Windows Server 2019, 2016, etc niet bij staat.
12-03-2020, 16:54 door Erik van Straten - Bijgewerkt: 12-03-2020, 17:15
Zo te zien heeft Microsoft nu een tussendoor-patch uitgebracht, zie https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796.

Er lijkt één KB pagina te zijn voor alle kwetsbare versies van Windows: https://support.microsoft.com/en-us/help/4551762/windows-10-update-kb4551762. Aanvulling: deze heb ik zojuist geïnstalleerd (W10 1903 x64). De "server" en "workstation" services waren disabled voordat ik met updaten begon, en zijn niet enabled door deze update. In C:\Windows\System32\drivers\ zijn "srv2.sys" en "mrxsmb.sys" vervangen door nieuwe versies.

Eerder vandaag raadde het Duitse BSI nog aan om de door Microsoft voorgestelde workarounds te impementeren (https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Schwachstelle-Windows_110320.html, bron: https://m.heise.de/security/meldung/SMBv3-Luecke-in-Windows-BSI-raet-dringend-dazu-Server-via-Workaround-abzusichern-4681565.html), maar met een patch beschikbaar lijkt mij dat meer nodig.

Het voorkomen dat uitgaande SMB-verbindingen jouw netwerk kunnen verlaten, is altijd verstandig (blokkeer dus op z'n minst netwerkpakketjes van binnen naar buiten in jouw router/perimeter-firewall met als doelpoorten: UDP 137 en 138, alsmede TCP 139 en 445).

Met een gecompromitteerde PC op je interne netwerk kan een kwaadwillende echter mogelijk ook NTLMv2 hashes van collega's (waaronder beheerders) in handen krijgen (en vervolgens "kraken"), gebruikmakend van een tool zoals Responder - zoals bijv. beschreven onder "Example Attack #3" in https://blogs.perficient.com/2018/05/22/how-microsoft-word-protected-view-stops-information-leaks/. Het loont dus wellicht de moeite om, middels Windows firewalls op PC's en servers, te beperken met welke SMB-servers die clients verbindingen mogen maken - zoals beschreven in de eerder door mij genoemde pagina https://support.microsoft.com/en-us/help/3185535/preventing-smb-traffic-from-lateral-connections.
13-03-2020, 09:10 door Anoniem
Door Anoniem: Kwestie van WAN-LAN netwerken, dus configureer een gecertificeerde IPsec IKEv1 VPN Tunnel,
let wel dynamisch via DHCP. Barracuda CloudGen Firewall.

Na het in de lucht tillen ervan, even de VPN tunnel checken, geeft ie twee keer groen, "up traffic control up".
OK en gaan met die banaan.

#sockpuppet

Ja precies, en daarna even patch management inrichten, lifecycle management inrichten, netwerkdocumentatie op orde maken, CMDB bijwerken, support contract afsluiten, routering op orde brengen, (security) monitoring inrichten, crypto instellingen wel even controleren etc etc. Het gemak waarmee sommige mensen denken dat in een corporate omgeving met 75.000+ nodes even iets in het netwerk gehangen kan worden of even iets aangepast kan worden. Net zoals het advies hierboven "Toch maar even een Samba server". Tuurlijk joh, geen probleem... op een thuisnetwerk met wat virtuele machines en 3 L2/L3 devices. We houden het netwerk graag ook nog beheersbaar na 10 jaar prutsers aan de knoppen.
13-03-2020, 09:51 door souplost
Door Anoniem:
Door Anoniem: Kwestie van WAN-LAN netwerken, dus configureer een gecertificeerde IPsec IKEv1 VPN Tunnel,
let wel dynamisch via DHCP. Barracuda CloudGen Firewall.

Na het in de lucht tillen ervan, even de VPN tunnel checken, geeft ie twee keer groen, "up traffic control up".
OK en gaan met die banaan.

#sockpuppet

Ja precies, en daarna even patch management inrichten, lifecycle management inrichten, netwerkdocumentatie op orde maken, CMDB bijwerken, support contract afsluiten, routering op orde brengen, (security) monitoring inrichten, crypto instellingen wel even controleren etc etc. Het gemak waarmee sommige mensen denken dat in een corporate omgeving met 75.000+ nodes even iets in het netwerk gehangen kan worden of even iets aangepast kan worden. Net zoals het advies hierboven "Toch maar even een Samba server". Tuurlijk joh, geen probleem... op een thuisnetwerk met wat virtuele machines en 3 L2/L3 devices. We houden het netwerk graag ook nog beheersbaar na 10 jaar prutsers aan de knoppen.
De walmare incidenten van de laatste tijid tonen aan waar het gepruts zit. Disclaimer: het zou ook kunnen dat de windows monocultuur onbeheersbaar is.
14-03-2020, 12:03 door Anoniem
Door souplost:
De walmare incidenten van de laatste tijid tonen aan waar het gepruts zit. Disclaimer: het zou ook kunnen dat de windows monocultuur onbeheersbaar is.
Meeste zijn voornamelijk foute configuratie. En heel veel gebruikers problemen. Iets wat verdomde lastige te voorkomen is.

De databreach incidenten van de laatste tijid tonen aan waar het gepruts zit.
15-03-2020, 23:52 door souplost
Door Anoniem:
Door souplost:
De walmare incidenten van de laatste tijid tonen aan waar het gepruts zit. Disclaimer: het zou ook kunnen dat de windows monocultuur onbeheersbaar is.
Meeste zijn voornamelijk foute configuratie. En heel veel gebruikers problemen. Iets wat verdomde lastige te voorkomen is.

De databreach incidenten van de laatste tijid tonen aan waar het gepruts zit.
Volgens de windows fanclub ligt het altijd aan de gebruiker of de systeembeheerder en nooit aan windows.
Check even. Elke malware infectie hier in het nieuws op security.nl begint bij een drive-by download onder windows. Kunnen gebruikers niets aan doen. Het bezoeken van een website is al voldoende om ongemerkt geïnfecteerd te worden. Microsoft fasciliteerd dit allemaal. Op een Linux desktop komt alles readonly binnen web of email en levert die ellende dus niet. Microsoft ziet dus hoe het wel kan maar doet er niets aan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.