image

Microsoft rolt noodpatch uit voor ernstig SMB-lek in Windows 10

donderdag 12 maart 2020, 17:10 door Redactie, 16 reacties

Microsoft heeft buiten de vaste patchcyclus om een noodpatch voor Windows uitgebracht die een ernstig beveiligingslek in SMBv3 verhelpt waardoor aanvallers zowel servers als clients kunnen overnemen. Het lek werd dinsdag onbedoeld geopenbaard. Op dat moment was er nog geen patch beschikbaar.

Wel kwam Microsoft met een tijdelijke oplossing. Server Message Block (SMB) is een protocol voor het op afstand toegankelijk maken van bestanden, printers en seriële poorten. Door het versturen van een speciaal geprepareerd pakket naar een kwetsbare SMBv3-server kan een aanvaller willekeurige code op de server uitvoeren. De aanvaller hoeft hierbij niet over een wachtwoord te beschikken om op de server zelf in te kunnen inloggen.

Daarnaast is het mogelijk om kwetsbare SMB-clients over te nemen die verbinding met een kwaadaardige SMBv3-server maken. Een aanvaller zou bijvoorbeeld eerst de server kunnen aanvallen en vervolgens alle clients die verbinding maken infecteren. Als tijdelijke oplossing raadde Microsoft aan om SMBv3-compressie uit te schakelen.

Vandaag meldt de softwaregigant dat gebruikers die de beveiligingsupdates van dinsdag 10 maart hebben geïnstalleerd update KB4551762 voor Windows 10 en Windows Server versies 1903 en 1909 moeten installeren om de SMBv3-kwetsbaarheid te verhelpen. Het probleem is niet aanwezig bij oudere versies van Windows die SMBv3.1.1 compressie niet ondersteunen. De update wordt via de automatische updatefunctie van Windows geïnstalleerd.

Securitybedrijf Kryptos Logic liet eerder vandaag weten dat het 48.000 kwetsbare systemen had gevonden die via internet toegankelijk zijn.

Image

Reacties (16)
12-03-2020, 17:25 door Erik van Straten
KB4551762 heb ik zojuist geïnstalleerd (W10 1903 x64). De "server" en "workstation" services waren disabled voordat ik met updaten begon, en zijn niet enabled door deze update. In C:\Windows\System32\drivers\ zijn "srv2.sys" en "mrxsmb.sys" vervangen door nieuwe versies.

Eerder vandaag raadde het Duitse BSI nog aan om de door Microsoft voorgestelde workarounds te impementeren (https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Schwachstelle-Windows_110320.html, bron: https://m.heise.de/security/meldung/SMBv3-Luecke-in-Windows-BSI-raet-dringend-dazu-Server-via-Workaround-abzusichern-4681565.html), maar met een patch beschikbaar lijkt mij dat meer nodig.

Echter, het voorkomen dat uitgaande SMB-verbindingen jouw netwerk kunnen verlaten, is altijd verstandig, zie de URL hieronder. Blokkeer dus op z'n minst netwerkpakketjes van binnen naar buiten in jouw router/perimeter-firewall met als doelpoorten: UDP 137 en 138, alsmede TCP 139 en 445.

Met een gecompromitteerde PC op je interne netwerk kan een kwaadwillende echter mogelijk ook NTLMv2 hashes van collega's (waaronder beheerders) in handen krijgen (en vervolgens "kraken"), gebruikmakend van een tool zoals Responder - zoals bijv. beschreven onder "Example Attack #3" in https://blogs.perficient.com/2018/05/22/how-microsoft-word-protected-view-stops-information-leaks/. Het loont dus wellicht de moeite om, middels Windows firewalls op PC's en servers, te beperken met welke SMB-servers de betreffende clients verbindingen mogen maken - zoals beschreven in https://support.microsoft.com/en-us/help/3185535/preventing-smb-traffic-from-lateral-connections.

Dit kan ook zinvol zijn als je "zwerft" met jouw laptop; je weet immers meestal niet of (gasten) WiFi-netwerken bij derden SMB verbindingen naar internet blokkeren.
12-03-2020, 17:35 door [Account Verwijderd]
Wanneer gaan ze nou eens een keer een goede stuk software ontwikkelen bij Microsoft?
12-03-2020, 17:57 door DDK
Door donderslag: Wanneer gaan ze nou eens een keer een goede stuk software ontwikkelen bij Microsoft?

"Beetje" kansloze reactie.. ik verbaas mij erover dat dit soort kansloze opmerkingen blijkbaar toch worden geplaatst op security.nl.

Het voegt niets toe, heeft geen enkele inhoud, en de schrijver laat blijken geen kaas te hebben gegeten hoe software in elkaar zit...

DDK
12-03-2020, 18:31 door Aurik - Bijgewerkt: 12-03-2020, 18:32
Door donderslag: Wanneer gaan ze nou eens een keer een goede stuk software ontwikkelen bij Microsoft?
Kansloze reactie van donderslag weer. Even wachten tot de andere predikanten ook weer langs komen.
Beter reactie zou zijn: Eindelijk een snelle reactie van Microsoft.

Maar is deze vraag niet voor alle software van toepassing?

Even NCSC High meldingen:
Meerdere kwetsbaarheden verholpen in Firefox en Firefox ESR
https://www.ncsc.nl/actueel/advisory?id=NCSC-2020-0202

Kwetsbaarheden verholpen in Google Chrome en Chromium
https://www.ncsc.nl/actueel/advisory?id=NCSC-2020-0092

Diverse kwetsbaarheden verholpen in SQLite
https://www.ncsc.nl/actueel/advisory?id=NCSC-2020-0201\

Kwetsbaarheden verholpen in Java SE
https://www.ncsc.nl/actueel/advisory?id=NCSC-2019-0821

Kwetsbaarheden verholpen in Linux Kernel
https://www.ncsc.nl/actueel/advisory?id=NCSC-2020-0039

Kwetsbaarheid verholpen in PostgreSQL
https://www.ncsc.nl/actueel/advisory?id=NCSC-2020-0128

Wanneer gaan leverancier nou eens een keer een goede stuk software ontwikkelen?
12-03-2020, 19:05 door souplost
Door Aurik:
Door donderslag: Wanneer gaan ze nou eens een keer een goede stuk software ontwikkelen bij Microsoft?
Kansloze reactie van donderslag weer. Even wachten tot de andere predikanten ook weer langs komen.
Beter reactie zou zijn: Eindelijk een snelle reactie van Microsoft.

Maar is deze vraag niet voor alle software van toepassing?

Even NCSC High meldingen:
Meerdere kwetsbaarheden verholpen in Firefox en Firefox ESR
https://www.ncsc.nl/actueel/advisory?id=NCSC-2020-0202

Kwetsbaarheden verholpen in Google Chrome en Chromium
https://www.ncsc.nl/actueel/advisory?id=NCSC-2020-0092

Diverse kwetsbaarheden verholpen in SQLite
https://www.ncsc.nl/actueel/advisory?id=NCSC-2020-0201\

Kwetsbaarheden verholpen in Java SE
https://www.ncsc.nl/actueel/advisory?id=NCSC-2019-0821

Kwetsbaarheden verholpen in Linux Kernel
https://www.ncsc.nl/actueel/advisory?id=NCSC-2020-0039

Kwetsbaarheid verholpen in PostgreSQL
https://www.ncsc.nl/actueel/advisory?id=NCSC-2020-0128

Wanneer gaan leverancier nou eens een keer een goede stuk software ontwikkelen?
Kansloze reactie deze ook. De frustratie druipt er van af. Wat de schrijver waarschijnlijk bedoelt is dat het wel erg vaak ernstig mis gaat met ms software de laatste tijd en dat het ook nog eens te laat wordt gerepareerd.
12-03-2020, 19:18 door Aurik
Door souplost:
Kansloze reactie deze ook. De frustratie druipt er van af. Wat de schrijver waarschijnlijk bedoelt is dat het wel erg vaak ernstig mis gaat met ms software de laatste tijd en dat het ook nog eens te laat wordt gerepareerd.
Even een belangrijk stukje uit je eigenlijk post herhalen: Kansloze reactie deze ook. De frustratie druipt er van af.

Dit keer zijn ze juist vrij. Daarom was de donderslag reactie kansloos, zoals de andere ook al melden.
12-03-2020, 19:26 door [Account Verwijderd] - Bijgewerkt: 12-03-2020, 19:41
Wanneer gaan leverancier nou eens een keer een goede stuk software ontwikkelen?

Mee eens. Maar ik moet wel zeggen dat MS tegenwoordig echt serieus de plank mis slaat. Dat begon bij Windows NT4, waarvan Computer!Totaal zei dat het mbt security in vergelijking was (in mijn woorden): "Met DOS heb je een t-shirt, met Windows 95 een kogelvrij vest en met Windows NT een tank." Met Windows NT zou dat misschien nog wel hebben kunnen kloppen want dat was gebaseerd op VMS. Windows XP, dat een echte ramp was. Toen kwam Windows 7, Win 8 en Win 10 en op de een of andere reden blijven de security bugs maar komen en komen. Windows is zowel de nachtmerrie als een geschenk voor de sysadmin.
12-03-2020, 20:29 door karma4
Door donderslag:
Wanneer gaan leverancier nou eens een keer een goede stuk software ontwikkelen?
Mee eens. Maar ik moet wel zeggen dat MS tegenwoordig echt serieus de plank mis slaat....
Windows is zowel de nachtmerrie als een geschenk voor de sysadmin.
Ja hoor de evangelisten zijn weer overtuigend aanwezige met hun bashing. Weel triest dat hetgeen wat ze proberen te verkondigen in hun enige ware OS geloof iets is wat sinds de jaren 60 nooit echt herontworpen is en nooit voor een serieuze Multi user omgeving is bedacht. Een echt OS zou namelijk gescheiden security functies zoals saf calls doen een hardware memory protection ondersteunen met gescheiden ringen.
Je kunt het gebrekkige ontwerp dan ook herkennen aan het hard coderen van userid's met passwords en de te complexe configuratie voor cloud toepassing. Hoeveel van die OSS databases met een OSS OS hebben al niet open en bloot gelegen.
Daar hoef je niet een hack voor te verzinnen als die voordeur gewoon open staat.
12-03-2020, 20:35 door [Account Verwijderd]
@karma4. B.S.
12-03-2020, 21:42 door Anoniem
Door donderslag: Wanneer gaan ze nou eens een keer een goede stuk software ontwikkelen bij Microsoft?

Reageren ze een keer snel, het argument van veel Linux mensen, is het weer niet goed.
12-03-2020, 23:11 door Anoniem
Weer dat vreemde gebeuren. Een van mijn systemen heeft de update wel, een andere niet. Die het niet heeft krijgt het ook niet aangeboden, maakt niet uit hoe vaak ik Windows Update draai. Heb hem maar met de hand gedownload.
13-03-2020, 00:04 door A.J.
Door Aurik:
Door souplost:
Kansloze reactie deze ook. De frustratie druipt er van af. Wat de schrijver waarschijnlijk bedoelt is dat het wel erg vaak ernstig mis gaat met ms software de laatste tijd en dat het ook nog eens te laat wordt gerepareerd.
Even een belangrijk stukje uit je eigenlijk post herhalen: Kansloze reactie deze ook. De frustratie druipt er van af.

Dit keer zijn ze juist vrij. Daarom was de donderslag reactie kansloos, zoals de andere ook al melden.
Aurik, het beste is om gewoon deze persoon te negeren. Dit soort gefrustreerde mensen staan dagelijks negatief in het leven en hebben vrijwel niks in te brengen in de maatschappij dus proberen ze overal tegenaan te schoppen.
13-03-2020, 06:17 door Anoniem
Het was client insecurity. Snel opgelost ondanks dat er bescherming via andere lagen kon worden gevonden.
Bij geen enkele software moeten we "al onze eieren in 1 mandje doen",

#sockpuppet
13-03-2020, 09:58 door souplost
Door A.J.:
Door Aurik:
Door souplost:
Kansloze reactie deze ook. De frustratie druipt er van af. Wat de schrijver waarschijnlijk bedoelt is dat het wel erg vaak ernstig mis gaat met ms software de laatste tijd en dat het ook nog eens te laat wordt gerepareerd.
Even een belangrijk stukje uit je eigenlijk post herhalen: Kansloze reactie deze ook. De frustratie druipt er van af.

Dit keer zijn ze juist vrij. Daarom was de donderslag reactie kansloos, zoals de andere ook al melden.
Aurik, het beste is om gewoon deze persoon te negeren. Dit soort gefrustreerde mensen staan dagelijks negatief in het leven en hebben vrijwel niks in te brengen in de maatschappij dus proberen ze overal tegenaan te schoppen.
Weer zo'n kansloze op de man reactie. Het gaat vast over fans van lage kwaliteit software.
13-03-2020, 11:48 door Anoniem
ja jammer de update 1762 op mijn pc gezeten walla en weg is mijn microsoft account ?
niet mijn hoofd account nou dan maar de update 1762 verwijderen en alles weer ok.
13-03-2020, 13:51 door [Account Verwijderd] - Bijgewerkt: 13-03-2020, 13:56
Door karma4:Ja hoor de evangelisten zijn weer overtuigend aanwezige met hun bashing.
Zei de über-evangelist. Potje die het keteltje verwijt? Lees je eigen reactie eens terug. Wat is het verschil met wat jij post dan? ;)

Door karma4:
Weel triest dat hetgeen wat ze proberen te verkondigen in hun enige ware OS geloof iets is wat sinds de jaren 60 nooit echt herontworpen is en nooit voor een serieuze Multi user omgeving is bedacht. Een echt OS zou namelijk gescheiden security functies zoals saf calls doen een hardware memory protection ondersteunen met gescheiden ringen. Je kunt het gebrekkige ontwerp dan ook herkennen aan het hard coderen van userid's met passwords en de te complexe configuratie voor cloud toepassing. Hoeveel van die OSS databases met een OSS OS hebben al niet open en bloot gelegen. Daar hoef je niet een hack voor te verzinnen als die voordeur gewoon open staat.
Het enige dat "hardcoded" is, is jouw niet-aflatende stroom aan halve waarheden, onwaarheden, leugens en twijfel te verspreiden over OSS. En natuurlijk je fundamentalistische en dogmatische kijk. En trouwens, het is wel duidelijk dat je je zogenaamde "kennis" over Unix en alles wat er vanaf geleid is je bij elkaar gegoogled hebt. Daarvoor zwabberen je beweringen teveel. Volgens mij heb je nog nooit een commandolijn van dichtbij gezien (misschien DOS vroeger, maar that's it!) Unix, waar je het over hebt, is trouwens helemaal geen OSS. Linux is dat wel, maar heeft ten opzichte van Unix vele veranderingen en uitbreidingen ondergaan en is dus op vele punten niet meer te vergelijken. Sterker nog: Linux is niet eens een directe afstammeling van Unix, maar een vrije interpretatie op Unix (vandaar ook "Unix-like"). Dus Karmaatje, op twee fronten sla je de plank (weer eens!) volledig mis.

Aha... nu zie ik bovendrijven waarom je zo'n ongelooflijke pesthekel hebt aan alles wat ook maar riekt naar OSS (en daarnaast ook Unix): je vind het te moeilijk! Oooh.... nu is het me duidelijk waarom je zo blijft ageren. Nou ja Karmaatje, daar hebben we een oplossing voor. Kijk eens? Goed leesvoer (en hopelijk is een boek lezen voor jou ook niet te ingewikkeld, want dan houdt het écht op!): https://www.mupload.nl/img/u7mq5l4sn6f.png

Je kunt het blijven proberen, Karmaatje, maar je krijgt wat mij betreft wéér die muts met ezelsoren op en mag je weer een poosje in de hoek gaan staan. Niet omdat je zo'n pesthekel hebt aan OSS (dat mag), maar omdat je wéér onzin verspreidt. Want van de juf mag je niet jokken... ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.