image

Ongepatcht SMB-lek in Windows 10 via IE en Edge aan te vallen

dinsdag 28 februari 2017, 09:39 door Redactie, 9 reacties

Een beveiligingslek in Windows SMB dat begin deze maand werd onthuld en waar nog geen update van Microsoft voor beschikbaar is kan via Internet Explorer en Edge worden aangevallen. Dat meldt beveiligingsbedrijf SecureWorks. Via de kwetsbaarheid is het mogelijk om computers te laten crashen.

Ook het uitvoeren van willekeurige code met kernelrechten zou in theorie mogelijk zijn, maar dit is nog niet bewezen. Het Server Message Block (SMB) is een protocol voor het op afstand toegankelijk maken van bestanden, printers en seriële poorten. Voor het aanvallen van de kwetsbaarheid moet een gebruiker met een kwaadaardige smb-server verbinding maken. Dit kan echter op verschillende manieren worden gedaan, aldus onderzoekers. Zo is het mogelijk om computers via 'redirect naar SMB', het openen van een link of het weergeven van een afbeelding op een webpagina met de smb-server van de aanvaller verbinding te laten maken, waarna het systeem crasht.

Deze aanvallen werken alleen tegen Internet Explorer en Microsoft Edge. Google Chrome en Mozilla Firefox zijn niet kwetsbaar, omdat in deze browsers het UNC-pad standaard staat uitgeschakeld. Via het UNC-pad kan een de locatie van een "network resource" worden opgegeven, zoals een gedeeld bestand, directory of printer. De onderzoekers adviseren om de Windows-update als die op 14 maart verschijnt zo snel als mogelijk te installeren. In de tussentijd kunnen organisaties uitgaande SMB-verbindingen (poorten 139/tcp, 445/tcp, 137/udp en 138/upd) van het lokale netwerk naar externe netwerken blokkeren.

Image

Reacties (9)
28-02-2017, 12:00 door [Account Verwijderd]
[Verwijderd]
28-02-2017, 12:06 door Anoniem
Wordt weer tijd voor een goede Windowsworm. Met alle updateperikelen zal dat een lange feestpartij worden.
28-02-2017, 12:22 door karma4
Probleem is bekend oorzaak al die linux apparatuur die op zo'n manier wil communiceren.
Remedie simpel schakel smb uit en drop die linux apparaten.

Met firewalls om dit niet buiten zones toe te laten ben je ok al een eind. Gewoonlijk zal dat voldoende zijn. Onbekende apparaten op je interne netwerk wil je niet.
28-02-2017, 12:32 door Anoniem
Door karma4: Probleem is bekend oorzaak al die linux apparatuur die op zo'n manier wil communiceren.
Remedie simpel schakel smb uit en drop die linux apparaten.

Euh? Dit gaat over een Windows kwetsbaarheid waarvoor je geen 'Linux apparatuur in je netwerk' nodig hebt om eraan ten prooi te vallen. U is digibeet zeker?
28-02-2017, 14:14 door Anoniem
Door karma4: Probleem is bekend oorzaak al die linux apparatuur die op zo'n manier wil communiceren.
Remedie simpel schakel smb uit en drop die linux apparaten.

Met firewalls om dit niet buiten zones toe te laten ben je ok al een eind. Gewoonlijk zal dat voldoende zijn. Onbekende apparaten op je interne netwerk wil je niet.


Helemaal mee eens karma4, Linux, *BSD en Unix er wereldwijd helemaal uitgooien.

Besef je dan dat het internet tot een halt komt?
28-02-2017, 16:39 door Anoniem
Door Anoniem:
Door karma4: Probleem is bekend oorzaak al die linux apparatuur die op zo'n manier wil communiceren.
Remedie simpel schakel smb uit en drop die linux apparaten.

Euh? Dit gaat over een Windows kwetsbaarheid waarvoor je geen 'Linux apparatuur in je netwerk' nodig hebt om eraan ten prooi te vallen. U is digibeet zeker?

Ehh hier ben je zelf niet bij de tijd vrees ik.
Actuele Windows systemen gebruiken ZELF allang geen SMB meer, dit staat alleen nog ingeschakeld voor backward
compatability en daarbij gaat het inderdaad vaak om Linux apparatuur. Niet zozeer Linux servers (want daar kan best
een nieuwere SAMBA op) of Linux werkstations (die zijn er meestal bijna niet en daar geldt hetzelfde voor) maar
die talloze Linux appliances die lastig of niet te updaten zijn en die nog SMB gebruiken.
28-02-2017, 17:47 door karma4
Door Anoniem:
Helemaal mee eens karma4, Linux, *BSD en Unix er wereldwijd helemaal uitgooien.
P
Besef je dan dat het internet tot een halt komt?
Ik heb het ook over al die slimme iot apparaten en appliances die in jouw netwerk zitten en met zo'n Windows machine perse op die manier contact maken.
Heel wat anders dan een rest soap bericht afhandeling die zijn eigen uitdagingen heeft.
28-02-2017, 20:28 door Erik van Straten
28-02-2017, 16:39 door Anoniem: Ehh hier ben je zelf niet bij de tijd vrees ik.
Actuele Windows systemen gebruiken ZELF allang geen SMB meer [...]
Volgende keer even Googlen voordat je onzin uitkraamt?

Uit [1]:
To be vulnerable, a client needs to support SMBv3, which was introduced in Windows 8 for clients and Windows 2012 on servers.

Uit [2]:
What’s new in SMB 3.1.1 in the Windows Server 2016 Technical Preview 2
[...]
Every new version of Windows brings updates to our main remote file protocol, known as SMB (Server Message Block).
[...]
In this blog post, you’ll see what changed with the new version of SMB that comes with the Windows 10 Insider Preview released in late April 2015 and the Windows Server 2016 Technical Preview 2 released in early May 2015.

[1] https://isc.sans.edu/forums/diary/Windows+SMBv3+Denial+of+Service+Proof+of+Concept+0+Day+Exploit/22029/
[2] https://blogs.technet.microsoft.com/josebda/2015/05/05/whats-new-in-smb-3-1-1-in-the-windows-server-2016-technical-preview-2/
02-03-2017, 10:47 door karma4
https://msdn.microsoft.com/en-us/library/windows/desktop/aa365233(v=vs.85).aspx
Netwerkshares over het publieke netwerk? Wie zoiets doet vraagt om problemen.
Bedrijfsmatig applicatiewhitelisting en netwerkzonering
Thuis wie richt zelf dat allemaal in...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.