Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Neue SMB3.0 Sicherheitslücke mit "Wormable attack"-Potential

Mitglied: SeaStorm

SeaStorm (Level 3) - Jetzt verbinden

11.03.2020 um 10:46 Uhr, 1874 Aufrufe, 15 Kommentare, 4 Danke

Guten Morgen,

eine kleine Warnung, für diejenigen, die es noch nicht gehört haben:
Seit gestern Abend geistert da was durch das Netz:
https://twitter.com/malwrhunterteam/status/1237438376032251904

MS hat offenbar eine Sicherheitsloch in SMB3.0, was es (mal wieder) ermöglicht einen Wurm zu basteln, der wie EthernalBlue sich durch ganze Netzwerke fressen kann. Bisher sind quasi keine Details bekannt, aber nachdem der CVE kurzzeitig geleaked war, wird es nicht lange dauern bis jemand den Exploit findet.
Wir erinnern uns an WannaCry, welches auf Basis von EthernalBlue, einer SMB1 Lücke mit gleichen Auswirkungen, 2014 für viel Ärger gesorgt hat und so manch eine Firma über den Jordan geschickt hat.

Bisher gibt es keinen Patch von MS und der nächste Patchday ist noch ein wenig entfernt. Vielleicht bekommen wir ja einen Ausser-Der-Reihe Hotfix. Aber bis dahin lautet der grossartige Vorschlag von MS: Deaktiviert SMB3 Kompression(ohne zu sagen WIE) und sperrt Port 445 auf allen Firewalls die ihr finden könnt.
Ja ... Ähm ... nein.


Wie man hier lesen kann, soll wohl ein Registrykey die Kompression abschalten. Aber was das für auswirkungen hat ist mir jetzt auch nicht klar. Sollte man vielleicht davor mal in einem Lab testen. mal schauen wann ich da dazu komme.

Als ob der Corona Mist nicht reichen würde -_-

Mfg Sea
Mitglied: DerWoWusste
11.03.2020, aktualisiert um 14:00 Uhr
SMB Kompression abschalten: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV20 ...
Kein Neustart benötigt.
Zur Performanceminderung finde ich https://interopevents.blob.core.windows.net/uploads/PDFs/2019/Redmond/Ta ... ->Seite 11. Das dürfte auf den meisten Servern, die keine hohen Workloads auf den Freigaben haben, egal sein. Bei DCs würde ich (habe ich) es sofort umsetzen.
Bitte warten ..
Mitglied: decehakan
12.03.2020, aktualisiert um 09:00 Uhr
gilt das auch für Samba,CIFS?

also willst du machen, smb braucht man und ein fileserver ohne smb läuft nicht.
Wichtig ist, dass man kein public portfreigabe für smb macht, aber lokal braucht man das.

mfg
decehakan
Bitte warten ..
Mitglied: SeaStorm
12.03.2020 um 09:10 Uhr
Zitat von decehakan:

gilt das auch für Samba,CIFS?
Soweit momentan nicht
also willst du machen, smb braucht man und ein fileserver ohne smb läuft nicht.
Ohne SMB3 schon. Und ohne Kompression auch. Und momentan behauptet MS ja, das man nur die Kompression abschalten muss um geschützt zu sein.
Bitte warten ..
Mitglied: DerWoWusste
12.03.2020 um 09:14 Uhr
Ich habe das hier schon durchgezogen und noch keine Probleme damit. Leistung ist auch ohne Kompression ausreichend.
Bitte warten ..
Mitglied: SeaStorm
12.03.2020 um 12:09 Uhr
Hab's auch seit gestern Nachmittag auf den DCs und den win10 Clients gemacht. Noch habe ich keine Beschwerden. Allerdings sind meine Filer nicht auf Windows Systemen. Hier habe ich ne EMC und Netapps
Bitte warten ..
Mitglied: NetzwerkDude
12.03.2020, aktualisiert um 12:38 Uhr
Eine Frage:
MS schreibt:
"This workaround does not prevent exploitation of SMB clients; please see item 2 under FAQ to protect clients."
öhm, wie will man aber den Client in dem Fall exploiten? Also wie schaut das Gefahrenszenario aus?
Oder meint MS mit Client Windows10 ?
Bitte warten ..
Mitglied: DerWoWusste
12.03.2020 um 12:57 Uhr
"Also wie schaut das Gefahrenszenario aus?" - ohne es zu wissen vermute ich, dass du, wenn Du dich mit deinem PC zu einem Server verbindest, auch ein Risiko eingehst. Man kann also nur die Serverseite absichern, aber nicht das Risiko für sich selbst entfernen, wenn man sich mit unbekannten, nicht von einem selbst administrierten Servern und deren Freigaben verbindet.
Bitte warten ..
Mitglied: Th0mKa
12.03.2020 um 13:43 Uhr
Zitat von DerWoWusste:

Bei DCs würde ich (habe ich) es sofort umsetzen.

Moin,

ich kann mir den Grund gerade schwer erklären, glaube ja nicht das du SAC Server als Domain Controller benutzt? Und die LTSC Releases sind ja nicht betroffen.

/Thomas
Bitte warten ..
Mitglied: SeaStorm
12.03.2020 um 13:58 Uhr
Und die LTSC Releases sind ja nicht
hab ich mir auch überlegt, aber dann halt doch gemacht, ebenso bei den Win10 Clients. Warum? Better safe then sorry!
Bitte warten ..
Mitglied: Th0mKa
12.03.2020 um 14:08 Uhr
Zitat von SeaStorm:
hab ich mir auch überlegt, aber dann halt doch gemacht, ebenso bei den Win10 Clients. Warum? Better safe then sorry!

Wenn du dir denn auch merkst das du es nach dem Patch wieder rückgängig machen musst kann man solche Placebos natürlich verteilen. :o)

/Thomas
Bitte warten ..
Mitglied: SeaStorm
12.03.2020 um 14:11 Uhr
Outlook ist mein liebster Freund
Bitte warten ..
Mitglied: NordicMike
12.03.2020 um 15:08 Uhr
Was machen wir nun mit Port 445 an den Clients? Komplett sperren oder nur für die öffentliche und private Firewal Zone?
Bitte warten ..
Mitglied: DerWoWusste
12.03.2020 um 15:43 Uhr
ich kann mir den Grund gerade schwer erklären, glaube ja nicht das du SAC Server als Domain Controller benutzt?
Doch sicher, ich nutze SAC als DC. Wieso glaubst Du das nicht!?

... hast Recht, ich nutze SAC nicht. Gestern war noch nicht einmal sicher, welche Editionen betroffen sind - es hieß aus verschiedenen Quellen, SMB 3.1.1 ist betroffen, also alle 2016/Win10. Dies ist nun geklärt. Glücklicherweise hat es keine Auswirkungen, der Wert wird auf niedrigeren Versionen schlicht ignoriert.
Bitte warten ..
Ähnliche Inhalte
Entwicklung
NVIDIA KI programmiert PacMan neu
Information von lcer00Entwicklung

Hallo, Das dürfte ein wichtiger Meilenstein in der Evolution von KI sein. Die Matrix und Skynet lassen schon mal ...

Windows 10

Neu in Windows 10: Mehrere Papierkörbe

Information von LochkartenstanzerWindows 1011 Kommentare

Moin MS scheint Umweltschutz ernstzunehmen und führt Mülltrennung in Windows ein. ;-) lks

Windows Server

Windows Updates Client PC zurücksetzen und neu mit WSUS syncen

Erfahrungsbericht von SystembastlerWindows Server

Hallo Admins, kurzes Feedback zu einer aktuellen Situation. Ich musste zwar nicht lange im Netz nach einer Lösung suchen, ...

Humor (lol)

Neu für die Admins die zu Hause nicht genug bekommen können

Information von HenereHumor (lol)5 Kommentare

Schönen Freitag euch allen !

Neue Wissensbeiträge
Windows Netzwerk

SCOM ( System Center Operations Manager ) um eine E-Mailschnittstelle erweitern

Anleitung von Juanito vor 18 StundenWindows Netzwerk

Einleitung System Center Operations Manager (SCOM) ist Microsoft's Lösung zum Überwachen von Servern. Dazu zählt die generelle Erreichbarkeit, Festplattenspeicher, ...

Humor (lol)
BioShield gegen 5G
Information von magicteddy vor 1 TagHumor (lol)3 Kommentare

Moin wer sich gegen die hochgefährlichen 5G schützen möchte wird hier fündig: 5GBioShield "gegen 5G-Strahlung" Ich glaube, ich sollte ...

Windows Server

ScheduledTasks mit einem Group-Managed-Service-Account (GMSA) ausführen

Anleitung von ToniHo vor 1 TagWindows Server

Hallo zusammen, wer schonmal versucht hat ein Group-Managed-Service-Account (GMSA) auf einem bestehenden ScheduledTask einzutragen, ist an der GUI vermutlich ...

Humor (lol)
Anti 5G USB Stick
Information von Ex0r2k16 vor 2 TagenHumor (lol)14 Kommentare

Perfekt für den Freitag, findet sich hier ein Businesspartner der mit mir zusammen einen Anti 6G Esoterik Stick rausbringt? ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Wie Festplatte von altem Notebook sicher löschen
gelöst Frage von NilsholgerssonFestplatten, SSD, Raid10 Kommentare

Hallo, habe ein altes P3 Celeron 800 Notebook, dessen Festplatte ich sicher löschen möchte. Habe von der Ultimate Boot ...

Router & Routing
Policy Based Routing mit Edgerouter ER-4 oder doch Load Balancing?
Frage von WillheRouter & Routing9 Kommentare

Hallo, ich möchte meine alte Fritzbox als Telefonanlage an meinen Edgerouter ER-4 anbinden (siehe Bild für mehr Details). Die ...

Windows 10
Virtualbox neueste Version W10pro 1909 nach Update auf 2004 Oberfläche hinüber bis fast ohne Funktion
Frage von UweGriWindows 109 Kommentare

Liebe profi Admins, zu Testzwecken hatte ich in einer VirtualBox neuste Ausführung ein W10 pro 1909 ohne Kummer laufen. ...

Router & Routing
VPN Router hinter Glasfaser Router des ISP
gelöst Frage von TenerifeITRouter & Routing9 Kommentare

Hallo zusammen, ich habe bisher noch keine VPN Router eingerichtet und nun von einem Kunden 2 TP-Link TL-R600VPN Router ...