15
Neue SMB3.0 Sicherheitslücke mit "Wormable attack"-Potential
Guten Morgen,
eine kleine Warnung, für diejenigen, die es noch nicht gehört haben:
Seit gestern Abend geistert da was durch das Netz:
https://twitter.com/malwrhunterteam/status/1237438376032251904
MS hat offenbar eine Sicherheitsloch in SMB3.0, was es (mal wieder) ermöglicht einen Wurm zu basteln, der wie EthernalBlue sich durch ganze Netzwerke fressen kann. Bisher sind quasi keine Details bekannt, aber nachdem der CVE kurzzeitig geleaked war, wird es nicht lange dauern bis jemand den Exploit findet.
Wir erinnern uns an WannaCry, welches auf Basis von EthernalBlue, einer SMB1 Lücke mit gleichen Auswirkungen, 2014 für viel Ärger gesorgt hat und so manch eine Firma über den Jordan geschickt hat.
Bisher gibt es keinen Patch von MS und der nächste Patchday ist noch ein wenig entfernt. Vielleicht bekommen wir ja einen Ausser-Der-Reihe Hotfix. Aber bis dahin lautet der grossartige Vorschlag von MS: Deaktiviert SMB3 Kompression(ohne zu sagen WIE) und sperrt Port 445 auf allen Firewalls die ihr finden könnt.
Ja ... Ähm ... nein.
Wie man hier lesen kann, soll wohl ein Registrykey die Kompression abschalten. Aber was das für auswirkungen hat ist mir jetzt auch nicht klar. Sollte man vielleicht davor mal in einem Lab testen. mal schauen wann ich da dazu komme.
Als ob der Corona Mist nicht reichen würde -_-
Mfg Sea
eine kleine Warnung, für diejenigen, die es noch nicht gehört haben:
Seit gestern Abend geistert da was durch das Netz:
https://twitter.com/malwrhunterteam/status/1237438376032251904
MS hat offenbar eine Sicherheitsloch in SMB3.0, was es (mal wieder) ermöglicht einen Wurm zu basteln, der wie EthernalBlue sich durch ganze Netzwerke fressen kann. Bisher sind quasi keine Details bekannt, aber nachdem der CVE kurzzeitig geleaked war, wird es nicht lange dauern bis jemand den Exploit findet.
Wir erinnern uns an WannaCry, welches auf Basis von EthernalBlue, einer SMB1 Lücke mit gleichen Auswirkungen, 2014 für viel Ärger gesorgt hat und so manch eine Firma über den Jordan geschickt hat.
Bisher gibt es keinen Patch von MS und der nächste Patchday ist noch ein wenig entfernt. Vielleicht bekommen wir ja einen Ausser-Der-Reihe Hotfix. Aber bis dahin lautet der grossartige Vorschlag von MS: Deaktiviert SMB3 Kompression(ohne zu sagen WIE) und sperrt Port 445 auf allen Firewalls die ihr finden könnt.
Ja ... Ähm ... nein.
Wie man hier lesen kann, soll wohl ein Registrykey die Kompression abschalten. Aber was das für auswirkungen hat ist mir jetzt auch nicht klar. Sollte man vielleicht davor mal in einem Lab testen. mal schauen wann ich da dazu komme.
Als ob der Corona Mist nicht reichen würde -_-
Mfg Sea
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 556472
Url: https://administrator.de/knowledge/neue-smb3-0-sicherheitsluecke-mit-wormable-attack-potential-556472.html
Ausgedruckt am: 22.12.2024 um 03:12 Uhr
15 Kommentare
Neuester Kommentar
SMB Kompression abschalten: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV20 ...
Kein Neustart benötigt.
Zur Performanceminderung finde ich https://interopevents.blob.core.windows.net/uploads/PDFs/2019/Redmond/Ta ... ->Seite 11. Das dürfte auf den meisten Servern, die keine hohen Workloads auf den Freigaben haben, egal sein. Bei DCs würde ich (habe ich) es sofort umsetzen.
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force Zur Performanceminderung finde ich https://interopevents.blob.core.windows.net/uploads/PDFs/2019/Redmond/Ta ... ->Seite 11. Das dürfte auf den meisten Servern, die keine hohen Workloads auf den Freigaben haben, egal sein. Bei DCs würde ich (habe ich) es sofort umsetzen.
2
gilt das auch für Samba,CIFS?
also willst du machen, smb braucht man und ein fileserver ohne smb läuft nicht.
Wichtig ist, dass man kein public portfreigabe für smb macht, aber lokal braucht man das.
mfg
decehakan
also willst du machen, smb braucht man und ein fileserver ohne smb läuft nicht.
Wichtig ist, dass man kein public portfreigabe für smb macht, aber lokal braucht man das.
mfg
decehakan
Soweit momentan nicht
also willst du machen, smb braucht man und ein fileserver ohne smb läuft nicht.
Ohne SMB3 schon. Und ohne Kompression auch. Und momentan behauptet MS ja, das man nur die Kompression abschalten muss um geschützt zu sein.
Ich habe das hier schon durchgezogen und noch keine Probleme damit. Leistung ist auch ohne Kompression ausreichend.
Hab's auch seit gestern Nachmittag auf den DCs und den win10 Clients gemacht. Noch habe ich keine Beschwerden. Allerdings sind meine Filer nicht auf Windows Systemen. Hier habe ich ne EMC und Netapps
Eine Frage:
MS schreibt:
"This workaround does not prevent exploitation of SMB clients; please see item 2 under FAQ to protect clients."
öhm, wie will man aber den Client in dem Fall exploiten? Also wie schaut das Gefahrenszenario aus?
Oder meint MS mit Client Windows10 ?
MS schreibt:
"This workaround does not prevent exploitation of SMB clients; please see item 2 under FAQ to protect clients."
öhm, wie will man aber den Client in dem Fall exploiten? Also wie schaut das Gefahrenszenario aus?
Oder meint MS mit Client Windows10 ?
"Also wie schaut das Gefahrenszenario aus?" - ohne es zu wissen vermute ich, dass du, wenn Du dich mit deinem PC zu einem Server verbindest, auch ein Risiko eingehst. Man kann also nur die Serverseite absichern, aber nicht das Risiko für sich selbst entfernen, wenn man sich mit unbekannten, nicht von einem selbst administrierten Servern und deren Freigaben verbindet.
Moin,
ich kann mir den Grund gerade schwer erklären, glaube ja nicht das du SAC Server als Domain Controller benutzt? Und die LTSC Releases sind ja nicht betroffen.
/Thomas
Und die LTSC Releases sind ja nicht
hab ich mir auch überlegt, aber dann halt doch gemacht, ebenso bei den Win10 Clients. Warum? Better safe then sorry!Zitat von @SeaStorm:
hab ich mir auch überlegt, aber dann halt doch gemacht, ebenso bei den Win10 Clients. Warum? Better safe then sorry!
hab ich mir auch überlegt, aber dann halt doch gemacht, ebenso bei den Win10 Clients. Warum? Better safe then sorry!
Wenn du dir denn auch merkst das du es nach dem Patch wieder rückgängig machen musst kann man solche Placebos natürlich verteilen. :o)
/Thomas
Outlook ist mein liebster Freund 
1
Was machen wir nun mit Port 445 an den Clients? Komplett sperren oder nur für die öffentliche und private Firewal Zone?
ich kann mir den Grund gerade schwer erklären, glaube ja nicht das du SAC Server als Domain Controller benutzt?
Doch sicher, ich nutze SAC als DC. Wieso glaubst Du das nicht!?...
hast Recht, ich nutze SAC nicht. Gestern war noch nicht einmal sicher, welche Editionen betroffen sind - es hieß aus verschiedenen Quellen, SMB 3.1.1 ist betroffen, also alle 2016/Win10. Dies ist nun geklärt. Glücklicherweise hat es keine Auswirkungen, der Wert wird auf niedrigeren Versionen schlicht ignoriert.
Moin,
jetzt liefert MS ein Update.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2 ...
Gruß
Uwe
jetzt liefert MS ein Update.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2 ...
Gruß
Uwe
