Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
SMB via WebSockets naar LAN
07-01-2021, 12:00 door Erik van Straten, 8 reacties
In https://twitter.com/SkelSec/status/1346517626026123268 (bron: [1]) claimt SkelSec dat hij/zij vanuit een webbrowser, gebruikmakend van WebSockets en een in WebAssembly gemaakte SMB implementatie, hosts aan het LAN kan benaderen.
[1] https://www.heise.de/news/l-f-Security-Albtraum-SMB-im-Browser-5005070.html
Sourcecode hiervoor is nog niet gepubliceerd (t.z.t. waarschijnlijk onder https://github.com/skelsec), maar scary is dit m.i. wel.
De voortdurende drang om steeds meer functionaliteit aan webbrowsers toe te voegen, leidt niet alleen tot een voorturende stroom aan kwetsbaarheden t.g.v. implementatiefouten, maar ook grote en (door de ontwerpers kennelijk onvoorziene) risico's. Ik betwijfel of ondersteuning voor alle "Mobile Code" die we in toenemende mate zien, op termijn wel houdbaar is qua beveiliging - we moeten veel te veel eigenaren van (grotendeels onzichtbare) webservers blindelings vertrouwen zodra we onze webbrowser gebruiken.
[1] https://www.heise.de/news/l-f-Security-Albtraum-SMB-im-Browser-5005070.html
Sourcecode hiervoor is nog niet gepubliceerd (t.z.t. waarschijnlijk onder https://github.com/skelsec), maar scary is dit m.i. wel.
De voortdurende drang om steeds meer functionaliteit aan webbrowsers toe te voegen, leidt niet alleen tot een voorturende stroom aan kwetsbaarheden t.g.v. implementatiefouten, maar ook grote en (door de ontwerpers kennelijk onvoorziene) risico's. Ik betwijfel of ondersteuning voor alle "Mobile Code" die we in toenemende mate zien, op termijn wel houdbaar is qua beveiliging - we moeten veel te veel eigenaren van (grotendeels onzichtbare) webservers blindelings vertrouwen zodra we onze webbrowser gebruiken.
Reacties (8)
07-01-2021, 12:02 door
Bitje-scheef
Webbrowsers worden ook steeds trager.
Alleen als SMB in de TCP layer is gewrapped.
Native SMB kan niet benaderd worden, lijkt mij.
Native SMB kan niet benaderd worden, lijkt mij.
07-01-2021, 17:39 door
Erik van Straten
Door Anoniem: Scary? Het is in principe allang mogelijk. Niets nieuws.
Dat iets "in principe" mogelijk is, zegt niets. Het gaat om de praktijk.SMB is een ingewikkeld protocol. De ervaring leert dat zodra iemand de moeite heeft gedaan om tooling te bouwen (de middelen beschikbaar zijn), niet alleen red teamers maar ook kwaadwillenden daar gebruik van gaan maken.
Door Erik van Straten:
SMB is een ingewikkeld protocol. De ervaring leert dat zodra iemand de moeite heeft gedaan om tooling te bouwen (de middelen beschikbaar zijn), niet alleen red teamers maar ook kwaadwillenden daar gebruik van gaan maken.
Door Anoniem: Scary? Het is in principe allang mogelijk. Niets nieuws.
Dat iets "in principe" mogelijk is, zegt niets. Het gaat om de praktijk.SMB is een ingewikkeld protocol. De ervaring leert dat zodra iemand de moeite heeft gedaan om tooling te bouwen (de middelen beschikbaar zijn), niet alleen red teamers maar ook kwaadwillenden daar gebruik van gaan maken.
Je hoeft niet het gehele protocol te kennen om 'iets' te kunnen doen. Een broadcast welke host de domain-controller is, is voldoende.
Door Anoniem:
Je hoeft niet het gehele protocol te kennen om 'iets' te kunnen doen. Een broadcast welke host de domain-controller is, is voldoende.
Als er een domaincontroller is dan kun je meteen al veel minder.Je hoeft niet het gehele protocol te kennen om 'iets' te kunnen doen. Een broadcast welke host de domain-controller is, is voldoende.
Er wordt wel op de trommel geslagen met "kijk eens ze kunnen SMB doen" maar normaal gesproken is er natuurlijk nog
meer beveiliging, zoals accounts/wachtwoorden, voor je bij gegevens kunt.
En als er een domain is dan ook nog domain membership. Waar je ook weer voor moet authenticeren om dat te krijgen.
Het risico is vooral aanwezig bij kleine opstellingen thuis bijv met een NAS of mediaserver ofzo, waarbij men "voor
het gemak" maar alles heeft opengezet zonder authenticatie. Of bijvoorbeeld een Linux hobbyist met SAMBA server die
uit pure wanhoop bij het werkend krijgen van die authenticatie de boel maar helemaal open gezet heeft.
Door Anoniem:
Er wordt wel op de trommel geslagen met "kijk eens ze kunnen SMB doen" maar normaal gesproken is er natuurlijk nog
meer beveiliging, zoals accounts/wachtwoorden, voor je bij gegevens kunt.
En als er een domain is dan ook nog domain membership. Waar je ook weer voor moet authenticeren om dat te krijgen.
Het risico is vooral aanwezig bij kleine opstellingen thuis bijv met een NAS of mediaserver ofzo, waarbij men "voor
het gemak" maar alles heeft opengezet zonder authenticatie. Of bijvoorbeeld een Linux hobbyist met SAMBA server die
uit pure wanhoop bij het werkend krijgen van die authenticatie de boel maar helemaal open gezet heeft.
Door Anoniem:
Je hoeft niet het gehele protocol te kennen om 'iets' te kunnen doen. Een broadcast welke host de domain-controller is, is voldoende.
Als er een domaincontroller is dan kun je meteen al veel minder.Je hoeft niet het gehele protocol te kennen om 'iets' te kunnen doen. Een broadcast welke host de domain-controller is, is voldoende.
Er wordt wel op de trommel geslagen met "kijk eens ze kunnen SMB doen" maar normaal gesproken is er natuurlijk nog
meer beveiliging, zoals accounts/wachtwoorden, voor je bij gegevens kunt.
En als er een domain is dan ook nog domain membership. Waar je ook weer voor moet authenticeren om dat te krijgen.
Het risico is vooral aanwezig bij kleine opstellingen thuis bijv met een NAS of mediaserver ofzo, waarbij men "voor
het gemak" maar alles heeft opengezet zonder authenticatie. Of bijvoorbeeld een Linux hobbyist met SAMBA server die
uit pure wanhoop bij het werkend krijgen van die authenticatie de boel maar helemaal open gezet heeft.
Scan het hele IPv4 internet even af, en je hebt ongeveer 30-40.000 openstaande SMB servers te pakken zonder authenticatie. OOK van bedrijven.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
