18
SMBloris füllt kompletten Arbeitsspeicher
SMB-Freigaben übers Internet schließen
Die RiskSense-Forscher gaben Microsoft 60 Tage Zeit, bevor sie die Methode im Rahmen der DefCon-Konferenz vorstellten. Gegenüber Threatpost äußerte sich der Hersteller und schloss einen Patch aus. Demnach handele es sich bei übers Internet veröffentlichten SMB-Freigaben um einen Konfigurationsfehler. Administratoren wird geraten, diese Verbindungen in der Firewall zu blockieren und nur im lokalen Netz bereitzustellen.
BFF
https://www.heise.de/security/meldung/SMBloris-fuellt-kompletten-Arbeits ...
Die RiskSense-Forscher gaben Microsoft 60 Tage Zeit, bevor sie die Methode im Rahmen der DefCon-Konferenz vorstellten. Gegenüber Threatpost äußerte sich der Hersteller und schloss einen Patch aus. Demnach handele es sich bei übers Internet veröffentlichten SMB-Freigaben um einen Konfigurationsfehler. Administratoren wird geraten, diese Verbindungen in der Firewall zu blockieren und nur im lokalen Netz bereitzustellen.
BFF
https://www.heise.de/security/meldung/SMBloris-fuellt-kompletten-Arbeits ...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 345092
Url: https://administrator.de/contentid/345092
Printed on: May 3, 2024 at 18:05 o'clock
18 Comments
Latest comment
Den Link wollte ich gerade auch posten.
Selbst im lokalen Netz ist das ein großes Porblem. Da wird MS schon einen Patch nachlegen müssen. Jedenfalls sollten die Admin gleich selbst mitgebrachte Pi's konfiszieren.
lks
Selbst im lokalen Netz ist das ein großes Porblem. Da wird MS schon einen Patch nachlegen müssen. Jedenfalls sollten die Admin gleich selbst mitgebrachte Pi's konfiszieren.
lks
Selbst im lokalen Netz ist das ein großes Porblem. Da wird MS schon einen Patch nachlegen müssen. Jedenfalls sollten die Admin gleich selbst mitgebrachte Pi's konfiszieren.
Und die ganzen anderen privaten Teile, wo es erlaubt wurde die im Firmennetz zu benutzen.
Das Ding hat ekelhaftes Potential.
BFF
Zitat von @Lochkartenstanzer:
Selbst im lokalen Netz ist das ein großes Porblem. Da wird MS schon einen Patch nachlegen müssen. Jedenfalls sollten die Admin gleich selbst mitgebrachte Pi's konfiszieren.
Selbst im lokalen Netz ist das ein großes Porblem. Da wird MS schon einen Patch nachlegen müssen. Jedenfalls sollten die Admin gleich selbst mitgebrachte Pi's konfiszieren.
Leider lässt der Artikel völlig offen, von welcher Version des SMB-Protokolls hier die Rede ist. Die Aussage das Microsoft nicht nachbessern wird, lässt die Vermutung zu, das es sich evtl. um die Version 1 (SMBv1) handelt, dessen Abschaltung bereits 2014 beschlossen wurde. Aktuell soll es auch (SMBv1) nicht mehr im Windows Server 2016 enthalten sein?
Also erstmal genaue Informationen abwarten…
MfG
Quelle:
https://www.bleepingcomputer.com/news/microsoft/microsoft-to-disable-smb ...
https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
Zitat von @runasservice:
Leider lässt der Artikel völlig offen, von welcher Version des SMB-Protokolls hier die Rede ist.
...
Also erstmal genaue Informationen abwarten…
Leider lässt der Artikel völlig offen, von welcher Version des SMB-Protokolls hier die Rede ist.
...
Also erstmal genaue Informationen abwarten…
Es ist egal welche Version das ist. Einfach nur abzuwarten heißt, sich einfach die Augen zuzuhalten in der Hoffnung, daß der Chatterbug/Plapperkäfer dann einen nicht frißt.
Man sollte vorsorglich prüfen, welche Maßnahmen zum Schutz treffen kann.
lks
Zitat von @Lochkartenstanzer:
Man sollte vorsorglich prüfen, welche Maßnahmen zum Schutz treffen kann.
Man sollte vorsorglich prüfen, welche Maßnahmen zum Schutz treffen kann.
Die Wahrscheinlichkeit bei einem Verkehrsunfall zu sterben ist 1 zu 15.800. Gut, bleiben wir ab morgen alle zu Hause, weil wir vorsorglich prüfen, welche Maßnahmen zum Schutz zu treffen sind.
Immer diese Panik mache....
MfG
Zitat von @runasservice:
Die Wahrscheinlichkeit bei einem Verkehrsunfall zu sterben ist 1 zu 15.800. Gut bleiben wir ab morgen alle zu Hause, weil wir vorsorglich prüfen, welche Maßnahmen zum Schutz zu treffen sind.
Die Wahrscheinlichkeit bei einem Verkehrsunfall zu sterben ist 1 zu 15.800. Gut bleiben wir ab morgen alle zu Hause, weil wir vorsorglich prüfen, welche Maßnahmen zum Schutz zu treffen sind.
Die Maßnahmen sind Airbag, Bremsen, Knautschzonen, Umsichtiges Fahren, etc.. Das was man nicht abfangen kann nennt sich Idiot/Verkehrsrowdy oder Restrisiko.
Daher muß man, jedesmal wenn man auf die Straße geht, die entscheidung treffen, ob es das Risiko wert ist oder nicht. z.B. bei den Gewittern der letzten Tage oder während der G20-krawalle würde man nicht ohen triftigen Grund rausfahren.
Immer diese Panik mache....
es ist keine Panikmache, wenn man bei so einer Meldung erstmal prüft, welches Risiko einen trifft. Einfach nur zu sagen "nicht sgenaues weiß man nicht, also trink ich weiter meinen Grog" ist nicht immer sinnvoll. Spätestens mit diesem Vortrag haben viele Blackhats genug Information, um eigene Exploits in die Welt zu setzen.
lks
Ja,? du hast also die "Meldung" geprüft und kannst mit Sicherheit sagen, das auch die Versionen SMBv2 und SMBv3 davon betroffen sind?
Sorry, ich halte aber nichts vom blinden Aktionismus und dem wilden Eifer und mache meinen Anwendern auch nicht unnötigt Panik. Dein Kunde möchte ich nicht sein
MfG
1mein eKund eerwarten von mir, daß ich das prüfe und sie ggf. informiere. momentan haben sie nur die Information bekommen, daß sie, falls solche Effekte wie in dem Artikel beschrieben festgestellt werden, sie mich sofort benachrichtigen sollen.
Ja,? du hast also Meldung geprüft und kannst mit Sicherheit sagen, das auch die Versionen SMBv2 und SMBv3 davon betroffen sind?
Ich bin noch dabei Informationen zusammenzusuchen, die in so einer Heisemeldung nicht enthalten sind, um festzustellen, was alles betroffen ist. Und ich vermute mal, daß es auch für v2 und v3 ähnliche Angriffe gibt.
lks
Zitat von @Lochkartenstanzer:
Ich bin noch dabei Informationen zusammenzusuchen, die in so einer Heisemeldung nicht enthalten sind, um festzustellen, was alles betroffen ist. Und ich vermute mal, daß es auch für v2 und v3 ähnliche Angriffe gibt.
Ich bin noch dabei Informationen zusammenzusuchen, die in so einer Heisemeldung nicht enthalten sind, um festzustellen, was alles betroffen ist. Und ich vermute mal, daß es auch für v2 und v3 ähnliche Angriffe gibt.
Optimal, Du wirst sicher dann auch hier berichten (auch wenn wir nicht deine Kunden sind)
MfG
Zitat von @runasservice:
Leider lässt der Artikel völlig offen, von welcher Version des SMB-Protokolls hier die Rede ist. Die Aussage das Microsoft nicht nachbessern wird, lässt die Vermutung zu, das es sich evtl. um die Version 1 (SMBv1) handelt, dessen Abschaltung bereits 2014 beschlossen wurde. Aktuell soll es auch (SMBv1) nicht mehr im Windows Server 2016 enthalten sein?
Leider lässt der Artikel völlig offen, von welcher Version des SMB-Protokolls hier die Rede ist. Die Aussage das Microsoft nicht nachbessern wird, lässt die Vermutung zu, das es sich evtl. um die Version 1 (SMBv1) handelt, dessen Abschaltung bereits 2014 beschlossen wurde. Aktuell soll es auch (SMBv1) nicht mehr im Windows Server 2016 enthalten sein?
Im Artikel steht:
"Das Prinzip ist verhältnismäßig einfach und funktioniert nach Aussagen der Forscher für alle Windows- und SMB-Versionen"
Moin ...
Also so wirklich spektakulär finde ich jetzt nur das schnoddrig hingeklatschte ... "es wird kein Patch geben" ...
ansonsten sehe ich die Problematik auch eher entspannt.
SMB und öffentliches Internet passen auch ohne das Problem nicht wirklich gut zusammen ... No Risk - No Fun
VG
Ashnod
Also so wirklich spektakulär finde ich jetzt nur das schnoddrig hingeklatschte ... "es wird kein Patch geben" ...
ansonsten sehe ich die Problematik auch eher entspannt.
SMB und öffentliches Internet passen auch ohne das Problem nicht wirklich gut zusammen ... No Risk - No Fun
VG
Ashnod
Zitat von @sabines:
Im Artikel steht:
"Das Prinzip ist verhältnismäßig einfach und funktioniert nach Aussagen der Forscher für alle Windows- und SMB-Versionen"
Im Artikel steht:
"Das Prinzip ist verhältnismäßig einfach und funktioniert nach Aussagen der Forscher für alle Windows- und SMB-Versionen"
Die Antwort von Microsoft:
"Der Fall bietet keine ernsthaften Sicherheitsimplikationen und wir planen nicht, ihn mit einem Sicherheitsupdate zu beheben. Für Unternehmenskunden, die betroffen sein können, empfehlen wir, den Zugriff vom Internet auf SMBv1 zu blockieren."
MfG
Zitat von @runasservice:
Die Antwort von Microsoft:
"Der Fall bietet keine ernsthaften Sicherheitsimplikationen und wir planen nicht, ihn mit einem Sicherheitsupdate zu beheben. Für Unternehmenskunden, die betroffen sein können, empfehlen wir, den Zugriff vom Internet auf SMBv1 zu blockieren."
MfG
Die Antwort von Microsoft:
"Der Fall bietet keine ernsthaften Sicherheitsimplikationen und wir planen nicht, ihn mit einem Sicherheitsupdate zu beheben. Für Unternehmenskunden, die betroffen sein können, empfehlen wir, den Zugriff vom Internet auf SMBv1 zu blockieren."
MfG
Das v1 gehört spätestens nach diesem Artikel ohnehin deaktiviert:
https://m.heise.de/newsticker/meldung/Wegen-Sicherheitsproblemen-Kein-SM ...
Zum Beispiel so:
https://support.microsoft.com/de-de/help/2696547/how-to-enable-and-disab ...
Zitat von @runasservice:
Leider lässt der Artikel völlig offen, von welcher Version des SMB-Protokolls hier die Rede ist.
Leider lässt der Artikel völlig offen, von welcher Version des SMB-Protokolls hier die Rede ist.
Alle.
Grüße
Richard
Zitat von @c.r.s.:
Alle.
Zitat von @runasservice:
Leider lässt der Artikel völlig offen, von welcher Version des SMB-Protokolls hier die Rede ist.
Leider lässt der Artikel völlig offen, von welcher Version des SMB-Protokolls hier die Rede ist.
Alle.
Und lässt Du uns/mich teilhaben woher deine Informationen stammen? Einige CT-Leser haben sich die Mühe gemacht und versucht den SMB-Fehler aus dem Video nachzustellen und sprechen bereits von einen Hoax.
Zitat:
Auch nach längerem ausführen konnte ich nicht feststellen, dass Speicher reserviert und nicht wieder freigegeben wurde. Würde gerne wissen, was hier schief läuft. Oder wurde die Lücke gepatcht? Gibt es die Lücke überhaupt?
Wenn Du jetzt andere Testergebnisse hast, z.B. mit aktuellen MS Betriebssystemen und SMB-Protokolle, dann poste doch mal deinen Script.
MfG
https://www.heise.de/forum/heise-Security/News-Kommentare/SMBloris-fuell ...
https://www.heise.de/forum/heise-Security/News-Kommentare/SMBloris-fuell ...
https://www.heise.de/forum/heise-Security/News-Kommentare/SMBloris-fuell ...
Moin,
ich würde mich da nicht auf die Kommentare verlassen.
Man kann es scheinbar sehr gerne mal selbst ausprobieren:
https://twitter.com/marcan42/status/892706927720808449
Ich hätte es gerne selbst ausprobiert musste dann aber wieder daran erinnert werden, dass ich die letzte Windows-Kiste bei uns vor einigen Monaten platt gemacht habe. Ich bin auf die Berichte gespannt
Edit: Wenn man den Twitterkommentaren glauben schenken kann, kann man es mit etwas Bastelei sogar unter Android zum laufen bringen... Weiter so
Gruß
Chris
ich würde mich da nicht auf die Kommentare verlassen.
Man kann es scheinbar sehr gerne mal selbst ausprobieren:
https://twitter.com/marcan42/status/892706927720808449
Ich hätte es gerne selbst ausprobiert musste dann aber wieder daran erinnert werden, dass ich die letzte Windows-Kiste bei uns vor einigen Monaten platt gemacht habe. Ich bin auf die Berichte gespannt
Edit: Wenn man den Twitterkommentaren glauben schenken kann, kann man es mit etwas Bastelei sogar unter Android zum laufen bringen... Weiter so
Gruß
Chris
Genau darum geht es! Kurzmeldungen in der Sommerpause...
Die neue SMB-Lücke lässt sich allerdings nur ausnutzen, wenn SMBv1 auf einem Zielrechner (über das Internet) erreichbar ist. Aus diesem Grund sei laut Microsoft kein Patch erforderlich. Microsoft kündigte zudem an, SMBv1 künftig in Windows 10 zu deaktivieren beziehungsweise aus dem Betriebssystem zu entfernen.
MfG
Moin,
Also an die SMBv1-Geschichte glaube ich ehrlich gesagt nicht ganz:
https://twitter.com/JennaMagius/status/892090408104153088
Anderer Tester, gleiches Problem. Zudem wird erklärt, dass es dabei um einen Angriff geht, der vor dem Austausch der Protokollversion stattfindet.
Und zudem (wurde ja auch schon erwähnt) Hilft es halt auch nicht gegen lokale Angreifer, wenn man das Internet aussperrt.
Was jedoch hilft sind Connection-limits in der Firewall. Was hier die Windows-Firewall hergibt, weiß ich allerdings nicht.
Gruß
Chris
Also an die SMBv1-Geschichte glaube ich ehrlich gesagt nicht ganz:
https://twitter.com/JennaMagius/status/892090408104153088
Anderer Tester, gleiches Problem. Zudem wird erklärt, dass es dabei um einen Angriff geht, der vor dem Austausch der Protokollversion stattfindet.
Und zudem (wurde ja auch schon erwähnt) Hilft es halt auch nicht gegen lokale Angreifer, wenn man das Internet aussperrt.
Was jedoch hilft sind Connection-limits in der Firewall. Was hier die Windows-Firewall hergibt, weiß ich allerdings nicht.
Gruß
Chris
