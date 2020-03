KB4551762 heb ik zojuist geïnstalleerd (W10 1903 x64). De "server" en "workstation" services waren disabled voordat ik met updaten begon, en zijn niet enabled door deze update. In C:\Windows\System32\drivers\ zijn "srv2.sys" en "mrxsmb.sys" vervangen door nieuwe versies.Eerder vandaag raadde het Duitse BSI nog aan om de door Microsoft voorgestelde workarounds te impementeren ( https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Schwachstelle-Windows_110320.html , bron: https://m.heise.de/security/meldung/SMBv3-Luecke-in-Windows-BSI-raet-dringend-dazu-Server-via-Workaround-abzusichern-4681565.html ), maar met een patch beschikbaar lijkt mij dat meer nodig.Echter, het voorkomen dat uitgaande SMB-verbindingen jouw netwerk kunnen verlaten, is altijd verstandig, zie de URL hieronder. Blokkeer dus op z'n minst netwerkpakketjes van binnen naar buiten in jouw router/perimeter-firewall met als doelpoorten: UDP 137 en 138, alsmede TCP 139 en 445.Met een gecompromitteerde PC op je interne netwerk kan een kwaadwillende echter mogelijk ook NTLMv2 hashes van collega's (waaronder beheerders) in handen krijgen (en vervolgens "kraken"), gebruikmakend van een tool zoals Responder - zoals bijv. beschreven onder "Example Attack #3" in https://blogs.perficient.com/2018/05/22/how-microsoft-word-protected-view-stops-information-leaks/ . Het loont dus wellicht de moeite om, middels Windows firewalls op PC's en servers, te beperken met welke SMB-servers de betreffendeverbindingen mogen maken - zoals beschreven in https://support.microsoft.com/en-us/help/3185535/preventing-smb-traffic-from-lateral-connections Dit kan ook zinvol zijn als je "zwerft" met jouw laptop; je weet immers meestal niet of (gasten) WiFi-netwerken bij derden SMB verbindingen naar internet blokkeren.