bassfishfox
Goto Top

SMBloris füllt kompletten Arbeitsspeicher

SMB-Freigaben übers Internet schließen
Die RiskSense-Forscher gaben Microsoft 60 Tage Zeit, bevor sie die Methode im Rahmen der DefCon-Konferenz vorstellten. Gegenüber Threatpost äußerte sich der Hersteller und schloss einen Patch aus. Demnach handele es sich bei übers Internet veröffentlichten SMB-Freigaben um einen Konfigurationsfehler. Administratoren wird geraten, diese Verbindungen in der Firewall zu blockieren und nur im lokalen Netz bereitzustellen.


BFF

https://www.heise.de/security/meldung/SMBloris-fuellt-kompletten-Arbeits ...

Content-ID: 345092

Url: https://administrator.de/forum/smbloris-fuellt-kompletten-arbeitsspeicher-345092.html

Ausgedruckt am: 03.04.2025 um 08:04 Uhr

Lochkartenstanzer
Lochkartenstanzer 01.08.2017 um 20:54:31 Uhr
Goto Top
Den Link wollte ich gerade auch posten.

Selbst im lokalen Netz ist das ein großes Porblem. Da wird MS schon einen Patch nachlegen müssen. Jedenfalls sollten die Admin gleich selbst mitgebrachte Pi's konfiszieren.

lks
BassFishFox
BassFishFox 01.08.2017 um 21:10:04 Uhr
Goto Top
Selbst im lokalen Netz ist das ein großes Porblem. Da wird MS schon einen Patch nachlegen müssen. Jedenfalls sollten die Admin gleich selbst mitgebrachte Pi's konfiszieren.

Und die ganzen anderen privaten Teile, wo es erlaubt wurde die im Firmennetz zu benutzen.

Das Ding hat ekelhaftes Potential.

BFF
runasservice
runasservice 02.08.2017 aktualisiert um 08:44:12 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Selbst im lokalen Netz ist das ein großes Porblem. Da wird MS schon einen Patch nachlegen müssen. Jedenfalls sollten die Admin gleich selbst mitgebrachte Pi's konfiszieren.


Leider lässt der Artikel völlig offen, von welcher Version des SMB-Protokolls hier die Rede ist. Die Aussage das Microsoft nicht nachbessern wird, lässt die Vermutung zu, das es sich evtl. um die Version 1 (SMBv1) handelt, dessen Abschaltung bereits 2014 beschlossen wurde. Aktuell soll es auch (SMBv1) nicht mehr im Windows Server 2016 enthalten sein?

Also erstmal genaue Informationen abwarten…


MfG

Quelle:

https://www.bleepingcomputer.com/news/microsoft/microsoft-to-disable-smb ...

https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
Lochkartenstanzer
Lochkartenstanzer 02.08.2017 aktualisiert um 08:46:43 Uhr
Goto Top
Zitat von @runasservice:

Leider lässt der Artikel völlig offen, von welcher Version des SMB-Protokolls hier die Rede ist.
...
Also erstmal genaue Informationen abwarten…

Es ist egal welche Version das ist. Einfach nur abzuwarten heißt, sich einfach die Augen zuzuhalten in der Hoffnung, daß der Chatterbug/Plapperkäfer dann einen nicht frißt.

Man sollte vorsorglich prüfen, welche Maßnahmen zum Schutz treffen kann.

lks
runasservice
runasservice 02.08.2017 um 08:54:02 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Man sollte vorsorglich prüfen, welche Maßnahmen zum Schutz treffen kann.


Die Wahrscheinlichkeit bei einem Verkehrsunfall zu sterben ist 1 zu 15.800. Gut, bleiben wir ab morgen alle zu Hause, weil wir vorsorglich prüfen, welche Maßnahmen zum Schutz zu treffen sind.

Immer diese Panik mache....

MfG
Lochkartenstanzer
Lochkartenstanzer 02.08.2017 um 09:01:14 Uhr
Goto Top
Zitat von @runasservice:

Die Wahrscheinlichkeit bei einem Verkehrsunfall zu sterben ist 1 zu 15.800. Gut bleiben wir ab morgen alle zu Hause, weil wir vorsorglich prüfen, welche Maßnahmen zum Schutz zu treffen sind.

Die Maßnahmen sind Airbag, Bremsen, Knautschzonen, Umsichtiges Fahren, etc.. Das was man nicht abfangen kann nennt sich Idiot/Verkehrsrowdy oder Restrisiko.

Daher muß man, jedesmal wenn man auf die Straße geht, die entscheidung treffen, ob es das Risiko wert ist oder nicht. z.B. bei den Gewittern der letzten Tage oder während der G20-krawalle würde man nicht ohen triftigen Grund rausfahren.

Immer diese Panik mache....

es ist keine Panikmache, wenn man bei so einer Meldung erstmal prüft, welches Risiko einen trifft. Einfach nur zu sagen "nicht sgenaues weiß man nicht, also trink ich weiter meinen Grog" ist nicht immer sinnvoll. Spätestens mit diesem Vortrag haben viele Blackhats genug Information, um eigene Exploits in die Welt zu setzen.

lks
runasservice
runasservice 02.08.2017 aktualisiert um 09:18:34 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

es ist keine Panikmache, wenn man bei so einer Meldung erstmal prüft,

Ja,? du hast also die "Meldung" geprüft und kannst mit Sicherheit sagen, das auch die Versionen SMBv2 und SMBv3 davon betroffen sind?

Sorry, ich halte aber nichts vom blinden Aktionismus und dem wilden Eifer und mache meinen Anwendern auch nicht unnötigt Panik. Dein Kunde möchte ich nicht sein face-wink

MfG
Lochkartenstanzer
Lochkartenstanzer 02.08.2017 aktualisiert um 09:18:39 Uhr
Goto Top
Zitat von @runasservice:

Zitat von @Lochkartenstanzer:

Dein Kunde möchte ich nicht sein face-wink


mein eKund eerwarten von mir, daß ich das prüfe und sie ggf. informiere. momentan haben sie nur die Information bekommen, daß sie, falls solche Effekte wie in dem Artikel beschrieben festgestellt werden, sie mich sofort benachrichtigen sollen.


Ja,? du hast also Meldung geprüft und kannst mit Sicherheit sagen, das auch die Versionen SMBv2 und SMBv3 davon betroffen sind?

Ich bin noch dabei Informationen zusammenzusuchen, die in so einer Heisemeldung nicht enthalten sind, um festzustellen, was alles betroffen ist. Und ich vermute mal, daß es auch für v2 und v3 ähnliche Angriffe gibt.

lks
runasservice
runasservice 02.08.2017 um 09:21:24 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Ich bin noch dabei Informationen zusammenzusuchen, die in so einer Heisemeldung nicht enthalten sind, um festzustellen, was alles betroffen ist. Und ich vermute mal, daß es auch für v2 und v3 ähnliche Angriffe gibt.


Optimal, Du wirst sicher dann auch hier berichten (auch wenn wir nicht deine Kunden sind) face-wink

MfG
sabines
sabines 02.08.2017 um 10:45:11 Uhr
Goto Top
Zitat von @runasservice:

Leider lässt der Artikel völlig offen, von welcher Version des SMB-Protokolls hier die Rede ist. Die Aussage das Microsoft nicht nachbessern wird, lässt die Vermutung zu, das es sich evtl. um die Version 1 (SMBv1) handelt, dessen Abschaltung bereits 2014 beschlossen wurde. Aktuell soll es auch (SMBv1) nicht mehr im Windows Server 2016 enthalten sein?


Im Artikel steht:
"Das Prinzip ist verhältnismäßig einfach und funktioniert nach Aussagen der Forscher für alle Windows- und SMB-Versionen"
ashnod
ashnod 02.08.2017 um 10:48:04 Uhr
Goto Top
Moin ...
Also so wirklich spektakulär finde ich jetzt nur das schnoddrig hingeklatschte ... "es wird kein Patch geben" ...
ansonsten sehe ich die Problematik auch eher entspannt.

SMB und öffentliches Internet passen auch ohne das Problem nicht wirklich gut zusammen ... No Risk - No Fun face-wink

VG
Ashnod
runasservice
runasservice 02.08.2017 um 11:22:43 Uhr
Goto Top
Zitat von @sabines:

Im Artikel steht:
"Das Prinzip ist verhältnismäßig einfach und funktioniert nach Aussagen der Forscher für alle Windows- und SMB-Versionen"

Die Antwort von Microsoft:

"Der Fall bietet keine ernsthaften Sicherheitsimplikationen und wir planen nicht, ihn mit einem Sicherheitsupdate zu beheben. Für Unternehmenskunden, die betroffen sein können, empfehlen wir, den Zugriff vom Internet auf SMBv1 zu blockieren."

MfG
sabines
sabines 02.08.2017 um 11:57:21 Uhr
Goto Top
Zitat von @runasservice:

Die Antwort von Microsoft:

"Der Fall bietet keine ernsthaften Sicherheitsimplikationen und wir planen nicht, ihn mit einem Sicherheitsupdate zu beheben. Für Unternehmenskunden, die betroffen sein können, empfehlen wir, den Zugriff vom Internet auf SMBv1 zu blockieren."

MfG

Das v1 gehört spätestens nach diesem Artikel ohnehin deaktiviert:
https://m.heise.de/newsticker/meldung/Wegen-Sicherheitsproblemen-Kein-SM ...

Zum Beispiel so:
https://support.microsoft.com/de-de/help/2696547/how-to-enable-and-disab ...
C.R.S.
C.R.S. 03.08.2017 um 00:38:18 Uhr
Goto Top
Zitat von @runasservice:

Leider lässt der Artikel völlig offen, von welcher Version des SMB-Protokolls hier die Rede ist.

Alle.

Grüße
Richard
runasservice
runasservice 03.08.2017 aktualisiert um 08:35:50 Uhr
Goto Top
Zitat von @c.r.s.:

Zitat von @runasservice:

Leider lässt der Artikel völlig offen, von welcher Version des SMB-Protokolls hier die Rede ist.

Alle.


Und lässt Du uns/mich teilhaben woher deine Informationen stammen? Einige CT-Leser haben sich die Mühe gemacht und versucht den SMB-Fehler aus dem Video nachzustellen und sprechen bereits von einen Hoax.

Zitat:

Auch nach längerem ausführen konnte ich nicht feststellen, dass Speicher reserviert und nicht wieder freigegeben wurde. Würde gerne wissen, was hier schief läuft. Oder wurde die Lücke gepatcht? Gibt es die Lücke überhaupt?

Wenn Du jetzt andere Testergebnisse hast, z.B. mit aktuellen MS Betriebssystemen und SMB-Protokolle, dann poste doch mal deinen Script.


MfG

https://www.heise.de/forum/heise-Security/News-Kommentare/SMBloris-fuell ...

https://www.heise.de/forum/heise-Security/News-Kommentare/SMBloris-fuell ...

https://www.heise.de/forum/heise-Security/News-Kommentare/SMBloris-fuell ...
Sheogorath
Sheogorath 03.08.2017 aktualisiert um 19:17:57 Uhr
Goto Top
Moin,

ich würde mich da nicht auf die Kommentare verlassen.

Man kann es scheinbar sehr gerne mal selbst ausprobieren:
https://twitter.com/marcan42/status/892706927720808449

Ich hätte es gerne selbst ausprobiert musste dann aber wieder daran erinnert werden, dass ich die letzte Windows-Kiste bei uns vor einigen Monaten platt gemacht habe. Ich bin auf die Berichte gespannt

Edit: Wenn man den Twitterkommentaren glauben schenken kann, kann man es mit etwas Bastelei sogar unter Android zum laufen bringen... Weiter so


Gruß
Chris
runasservice
runasservice 04.08.2017 aktualisiert um 06:17:26 Uhr
Goto Top
Zitat von @Sheogorath:


ich würde mich da nicht auf die Kommentare verlassen.

Genau darum geht es! Kurzmeldungen in der Sommerpause...


Die neue SMB-Lücke lässt sich allerdings nur ausnutzen, wenn SMBv1 auf einem Zielrechner (über das Internet) erreichbar ist. Aus diesem Grund sei laut Microsoft kein Patch erforderlich. Microsoft kündigte zudem an, SMBv1 künftig in Windows 10 zu deaktivieren beziehungsweise aus dem Betriebssystem zu entfernen.

MfG
Sheogorath
Sheogorath 04.08.2017 um 09:15:22 Uhr
Goto Top
Moin,

Also an die SMBv1-Geschichte glaube ich ehrlich gesagt nicht ganz:

https://twitter.com/JennaMagius/status/892090408104153088

Anderer Tester, gleiches Problem. Zudem wird erklärt, dass es dabei um einen Angriff geht, der vor dem Austausch der Protokollversion stattfindet.

Und zudem (wurde ja auch schon erwähnt) Hilft es halt auch nicht gegen lokale Angreifer, wenn man das Internet aussperrt.

Was jedoch hilft sind Connection-limits in der Firewall. Was hier die Windows-Firewall hergibt, weiß ich allerdings nicht.

Gruß
Chris