Zum Inhalt wechseln


Foto

Zero-Day-Lücke im SMB Protokoll


  • Bitte melde dich an um zu Antworten
9 Antworten in diesem Thema

#1 ChrisRa

ChrisRa

    Senior Member

  • 411 Beiträge

 

Geschrieben 03. Februar 2017 - 11:01

Siehe News:

 

https://www.heise.de...ws-3616990.html


Keep IT simple.  ;)


#2 DocData

DocData

    Board Veteran

  • 1.251 Beiträge

 

Geschrieben 03. Februar 2017 - 11:23

 

 

Um sich bis dahin abzusichern, empfiehlt das CERT, SMB zu deaktivieren oder zumindest die TCP-Ports 139 und 445 und die UDP-Ports 137 und 138 auf Firewalls zu blockieren.

 

Jetzt ernsthaft? Wer zur Hölle gibt die Ports frei (bei IPv6) oder konfiguriert dafür DNAT??


Ein Wrack ist kein Ort, an dem ein Schatz schlummert...


#3 NilsK

NilsK

    Expert Member

  • 12.096 Beiträge

 

Geschrieben 03. Februar 2017 - 11:40

Moin,

 

naja, es geht ja auch um Angriffe innerhalb eines Unternehmens. Da ist Abschalten von SMB schlicht nicht möglich ...

 

Gruß, Nils


  • DocData gefällt das

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#4 testperson

testperson

    Board Veteran

  • 4.331 Beiträge

 

Geschrieben 03. Februar 2017 - 12:03

Hi,

 

laut dem Artikel müsste der pöse Pursche eine "bösartige Ressource" bereitstellen und ein Client müsste darauf zugreifen.

Da müssten sich dann aber auch schon eine ganze Menge tragischer Verwicklungen ergeben oder es wurde an diversen anderen Stellen "geschlampt".

 

Gruß

Jan


  • ChrisRa gefällt das
Good morning, that's a nice TNETENNBA!

#5 NorbertFe

NorbertFe

    Expert Member

  • 30.416 Beiträge

 

Geschrieben 03. Februar 2017 - 12:04

Naja diverse Man in the middle attacks der letzten Monate (UNC Hardening und Konsorten) waren deutlich aufwendiger als eine SMB Ressource hinzustellen und die Leute dorthin zu lotsen. ;)

Make something i***-proof and they will build a better i***.


#6 ChrisRa

ChrisRa

    Senior Member

  • 411 Beiträge

 

Geschrieben 03. Februar 2017 - 12:08

In der Praxis wohl in den meisten Unternehmen machbar. Es braucht ja nur eine LAN-Dose und einen nicht gesperrten Bildschirm. Ist allerdings die Frage, was es einem bringt, einem Client einen BSOD zu verpassen.


Keep IT simple.  ;)


#7 MurdocX

MurdocX

    Board Veteran

  • 476 Beiträge

 

Geschrieben 03. Februar 2017 - 12:14

Jetzt ernsthaft? Wer zur Hölle gibt die Ports frei (bei IPv6) oder konfiguriert dafür DNAT??

 

*rheusper* Ich könnte Dir ein sicher mindestens 300 Clients und etliche Server nennen die in einem öffentlichen Netz, nur mit der Windows-Firewall, stehen.  :(


Mit freundlicher Unterstützung
Jan


#8 RolfW

RolfW

    Expert Member

  • 1.129 Beiträge

 

Geschrieben 03. Februar 2017 - 12:27

Danke für die Info.


- Carpe Diem -

"Ist mir jetzt egal, ich lass das jetzt so."

#9 NorbertFe

NorbertFe

    Expert Member

  • 30.416 Beiträge

 

Geschrieben 03. Februar 2017 - 13:10

In der Praxis wohl in den meisten Unternehmen machbar. Es braucht ja nur eine LAN-Dose und einen nicht gesperrten Bildschirm. Ist allerdings die Frage, was es einem bringt, einem Client einen BSOD zu verpassen.


Zitat:
Im schlimmsten Fall könnten Angreifer sogar Schadcode auf Systeme schieben und mit Kernel-Rechten ausführen

Make something i***-proof and they will build a better i***.


#10 ChrisRa

ChrisRa

    Senior Member

  • 411 Beiträge

 

Geschrieben 03. Februar 2017 - 13:28

Stimmt!  :)


Keep IT simple.  ;)