runasservice
Goto Top

SMBLoris: Microsoft lässt schwerwiegende Sicherheitslücke in SMBv1 ungepatcht

Voraussetzung ist ein aktives SMBv1-Protokoll, das über das Internet erreichbar ist. Microsoft entscheidet sich aufgrund dieser Einschränkung gegen einen Patch.

http://www.zdnet.de/88306353/smbloris-microsoft-laesst-schwerwiegende-s ...

Content-Key: 345413

Url: https://administrator.de/contentid/345413

Printed on: July 20, 2024 at 19:07 o'clock

Member: kaiand1
kaiand1 Aug 04, 2017 at 04:58:56 (UTC)
Goto Top
Nun es gibt ja keine "älteren" Systeme in Steuerungsanlagen die über Internet ect erreichbar sind da alle auf W10 gewechselt haben ;)
Warum Arbeit machen um eine Lücke zu Stopfen wenn der Kunde doch nur einen Router/Firewall braucht damit die Lücke nicht missbraucht werden kann ?...
Ins "Sichere" Lan kommen die Bad Guys ja nicht.

Es ist Freitag
kondom-als-firewall[1]
Member: runasservice
runasservice Aug 04, 2017 updated at 05:21:49 (UTC)
Goto Top
Zitat von @kaiand1:
Warum Arbeit machen um eine Lücke zu Stopfen wenn der Kunde doch nur einen Router/Firewall braucht damit die Lücke nicht missbraucht werden kann ?...

Gerade in der Info der 7390 gelesen:

Die FRITZ!Box unterstützt das Netzwerkprotokoll SMB in der Version 1.0. Die Versionen 2 und 3 des SMB-Protokolls (SMB2, SMB3) werden von der FRITZ!Box nicht unterstützt. Falls Sie SMB 1.0 auf Ihrem Windows-Computer deinstalliert haben, können Sie das Protokoll so wieder installieren...

Jeder ist seines Glückes Schmied - auch am Freitag!
Member: C.R.S.
C.R.S. Aug 04, 2017 at 05:45:45 (UTC)
Goto Top
Zitat von @runasservice:

Voraussetzung ist ein aktives SMBv1-Protokoll, das über das Internet erreichbar ist.

Microsoft hat sich korrigiert, The Register auch. Die Entscheidung gegen den Patch beruht auf der Mitigation-Möglichkeit durch Verbindungslimits, da die Verbindungen ja nach 30 Sekunden auslaufen.
Member: Lochkartenstanzer
Lochkartenstanzer Aug 04, 2017 updated at 05:52:21 (UTC)
Goto Top
Zitat von @runasservice:

Voraussetzung ist ein aktives SMBv1-Protokoll, das über das Internet erreichbar ist. Microsoft entscheidet sich aufgrund dieser Einschränkung gegen einen Patch.

  • Es gibt genügend legacysysteme bei denen man keine Alternative zu v1 hat.
  • Man kann dann ggf. auf den neuen Systemen prozessbedingt kein v1 abschalten.
  • Und den Internetstecker ziehen hilft nicht gegen lokale Angreifer.

Man muß keine Panik machen, aber auf die lockere Schulter sollte man das auch nicht nehmen.

Daß MS keinen Bock hat, für Pre-Win7 noch patches zu liefern ist nachvollziehbar. Aber daß sie aktuelle Systeme, die v1 unterstützen nicht supporten wollen ist ein Unding. Wie gesagt, die müssen manchmal v1 untertützen, damit Mascinen im Wert von 6-stelligen Euribeträgen nicht als Schrott ausgemustert werden müssen.

lks
Member: kaiand1
kaiand1 Aug 04, 2017 at 05:49:02 (UTC)
Goto Top
Zitat von @runasservice:

Gerade in der Info der 7390 gelesen:

Die FRITZ!Box unterstützt das Netzwerkprotokoll SMB in der Version 1.0. Die Versionen 2 und 3 des SMB-Protokolls (SMB2, SMB3) werden von der FRITZ!Box nicht unterstützt. Falls Sie SMB 1.0 auf Ihrem Windows-Computer deinstalliert haben, können Sie das Protokoll so wieder installieren...

Jeder ist seines Glückes Schmied - auch am Freitag!

Nun das Model ist doch so um 2009 (Älter als 5 Jahre im Umlauf) erschienen und wer Nostalgie Produkte nutzte xD...
Zeit die Wirtschaft Anzukurblen und neue Produkte zuzulegen und mehr Edelschrott zu Produzieren wo die Archäologe sich in paar Jahrzehnten sich Fragen werden warum Tausende noch Funktionierende Produkte auf einen Berg "gelagert" wurde der zugeschüttet ist....
Member: runasservice
runasservice Aug 04, 2017 updated at 06:14:15 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

Daß MS keinen Bock hat, für Pre-Win7 noch patches zu liefern ist nachvollziehbar. Aber daß sie aktuelle Systeme, die v1 unterstützen nicht supporten wollen ist ein Unding. Wie gesagt, die müssen manchmal v1 untertützen, damit Mascinen im Wert von 6-stelligen Euribeträgen nicht als Schrott ausgemustert werden müssen.

Das Microsoft ein 30 Jahre altes Netzwerkprotokoll nicht mehr supporten möchte, ist meiner Meinung nach verständlich, zumal die Entscheidung, SMBv1 zu beerdigen bereits vor 5 Jahren von Microsoft getroffen wurde. Bald wird es in WIndows 10 / Server 2016 fehlen:

"For more information on why using SMB1 is unsafe, see StopUsingSMB1. SMB1 has been deprecated for years and will be removed by default from many editions and SKUs of Windows 10 and Windows Server 2016 in the RS3 release."

Der Link enhält auch eine Liste von Produkten die auf SMBv1 angewiesen sind:

https://blogs.technet.microsoft.com/filecab/2017/06/01/smb1-product-clea ...

MfG
Member: runasservice
runasservice Aug 04, 2017 updated at 06:25:47 (UTC)
Goto Top
Zitat von @kaiand1:

Nun das Model ist doch so um 2009 (Älter als 5 Jahre im Umlauf) erschienen und wer Nostalgie Produkte nutzte xD...

Leider nutzen viele meiner Anwender noch die 7390, aber alle aktuellen Modelle von AVM können nur SMBv1. Du hast aber schon recht, wer benutzt Produkte von AVM?

MfG
Member: kaiand1
kaiand1 Aug 04, 2017 at 07:05:19 (UTC)
Goto Top
Das ist ja das große Problem dabei.
Viele Firmen oder auch Privatleute nutzten die Geräte länger als der Hersteller diese Supporten möchte (End Of Life)..
Zum einen weil die Geräte keinen Defekt haben und ihre Funktion erfüllen zum anderen da dies ja auch wider ein Kostenfaktor ist wenn man alle 5 ? Jahre jedes Gerät wegen EOL ersetzt...
Dann noch die ganzen Steuerungsanlagen oder große Maschinen mit den alten Systemen die immer noch ihren Dienst verrichten nur das Betriebssystem in die Jahre gekommen ist...
War letztes Jahr bei einer Firma die haben eine großen Fräsmaschinen und haben eine mal erneuert für ~ 460k ist so schon eine schöne Moderne Maschine aber dauernd haben die Probleme mit Sensoren & Co (High Tech ohne Ende) und die 20 Jahre Alte Maschine dagegen läuft ohne zu murren.

Aber es sollte ein Gesetzt geben das wenn der Hersteller ein Produkt nicht mehr Supportet das die Sachen dann Quelloffen Veröffentlich werden müssen ;)
Member: brammer
brammer Aug 04, 2017 at 11:16:17 (UTC)
Goto Top
Hallo,

das MS hier nicht Patcht ist doch vollkommen okay.

Wenn eine Anlage mit so alter Hard und Software ans Internet gehängt werden muss, meist ja für irgendwelche Support Situationen.
Dann nimmt man ein VPN ....
Alles andere ist sicherheitstechnischer Selbstmord....
Und wenn ich den Zugriff per VPN absichere , dann ist mir ein offene SMB Verbindung egal....

brammer
Member: Lochkartenstanzer
Lochkartenstanzer Aug 04, 2017 updated at 11:26:09 (UTC)
Goto Top
moin,

Zitat von @brammer:

das MS hier nicht Patcht ist doch vollkommen okay.

Finde ich nicht, Zumindets bei aktuellen Produkten, bei denen noch v1 eingebaut ist, müßte gepatcht werden oder v1 per patch herauoperiert.

Und wenn ich den Zugriff per VPN absichere , dann ist mir ein offene SMB Verbindung egal....

Naja, im LAN gibt es auch Gefahren. Auch wenn man da mehr Kontrolle hat.

lks
Member: Sheogorath
Sheogorath Aug 04, 2017 updated at 12:54:00 (UTC)
Goto Top
Moin,

Zitat von @runasservice:
Voraussetzung ist ein aktives SMBv1-Protokoll, das über das Internet erreichbar ist. Microsoft entscheidet sich aufgrund dieser Einschränkung gegen einen Patch.

Der im Artikel verlinkte Twitternutzer sagt zumindest etwas anderes: https://twitter.com/JennaMagius/status/891434286212984832

Gruß
Chris
Member: runasservice
runasservice Aug 06, 2017 at 09:01:25 (UTC)
Goto Top
Zitat von @Sheogorath:

Der im Artikel verlinkte Twitternutzer sagt zumindest etwas anderes: https://twitter.com/JennaMagius/status/891434286212984832


Genau darum geht es, im Netz kann jeder das sagen was er für richtig hält! Letzlich muss man als Administrator dann selbst prüfen ob man auf SMBLoris reagieren muss. Microsoft macht es jedenfall (erstmal) nicht.

MfG