image

Bedrijven gewaarschuwd voor risico van NetBIOS

woensdag 5 augustus 2015, 12:39 door Redactie, 6 reacties
Laatst bijgewerkt: 05-08-2015, 14:01

Een interface die al meer dan 30 jaar bestaat en in alle versies van Windows aanwezig is, is nog altijd een serieus beveiligingsrisico voor bedrijven en gebruikers. Daarvoor waarschuwt beveiligingsexpert Perry Mertens. Het gaat om de NetBIOS-interface uit 1983. NetBIOS is de afkorting voor Network Basic Input Output System en is een interface waarmee systemen in een lokaal netwerk kunnen communiceren.

Door de jaren heen zijn er verschillende kwetsbaarheden in het protocol ontdekt en ook misbruikt, waaronder spoofing-aanvallen. Het protocol maakt geen gebruik van authenticatie en is daarom met name kwetsbaar voor spoofing. Volgens Mertens is het vrij eenvoudig om NetBIOS-spoofingaanvallen uit te voeren. Een aanvaller hoeft alleen verbinding met het lokale netwerk of een open wifi-netwerk te maken. Vervolgens zijn user-id's en wachtwoordhashes via allerlei eenvoudig te verkrijgen tools op te vangen. Deze hashes zijn vaak weer via andere tools te kraken.

"Dit is de eenvoudigste manier voor een aanvaller om gebruikersgegevens te stelen, gewoon wachten", merkt Mertens op. Via de gestolen gegevens kan een aanvaller toegang tot persoonlijke gegevens, applicaties en systemen krijgen. Vanwege het risico van NetBIOS omschrijft Mertens het zelfs als een "30 jaar oude vergeten backdoor in Windows". Hij adviseert organisaties en gebruikers dan ook om NetBIOS uit te schakelen. Het waarschuwen voor NetBIOS is niet nieuw. Drie jaar geleden gat het Internet Storm Center een soortgelijke waarschuwing af.

Reacties (6)
05-08-2015, 13:52 door Anoniem
Netbios is geen protocol, Netbios is een interface

'NetBIOS defines a software interface and a naming convention, not a protocol. NetBIOS over TCP/IP provides the NetBIOS programming interface over the TCP/IP protocol, extending the reach of NetBIOS client and server programs to the IP internetworks and providing interoperability with various other operating systems.'

Er zijn nog genoeg applicaties die gebruik maken van Netbios en daardoor is het waarschijnlijk niet altijd mogelijk om het uit te zetten.
05-08-2015, 21:43 door yobi
Uit te schakelen via Netwerk instelligen -> Adapter instellingen -> Eigenschappen van de adapter -> Eigenschappen van Internet protocol versie 4 -> (rechts onderin) Geavanceerd -> (naar de tab) WINS-> NetBIOS via TCP/IP uitschakelen.
06-08-2015, 06:23 door Anoniem
Door yobi: Uit te schakelen via Netwerk instelligen -> Adapter instellingen -> Eigenschappen van de adapter -> Eigenschappen van Internet protocol versie 4 -> (rechts onderin) Geavanceerd -> (naar de tab) WINS-> NetBIOS via TCP/IP uitschakelen.

Goed om te weten die setting kende ik niet ( ik zette altijd de windows service netbios uit)
06-08-2015, 09:47 door Anoniem
Let wel dat sommige legacy systemen hier slecht mee om kunnen gaan. Een netwerk waar bijvoorbeeld oudere versies van Windows nog steeds moeten draaien (om wat voor reden dan ook), kunnen hier last mee krijgen.
06-08-2015, 15:52 door Anoniem
Wanneer Netbios over TCPIP aan staat dit is rampzalig voor Advanced Persistent Threat attack zoals bij Sony, Banken en andere organisaties. In een organisatie waar Netbios aanstaat is Nonrepudiation een groot issue. Het verkrijgen van wachwoorden is zo eenvoudig dat je er niet meer op kan vertrouwen.

Dus uitschakelen is dan ook de beste oplossing.
06-08-2015, 16:23 door Anoniem
Als Security specialist zeg ik, prima stuk van Perry Mertens. NetBios over TCP/IP uitschakelen heeft nu de hoogste prioriteit binnen onze organisatie. Googel maar over aanvallen op Netbios.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.