Computerbeveiliging - Hoe je bad guys buiten de deur houdt

SMB via WebSockets naar LAN

07-01-2021, 12:00 door Erik van Straten, 8 reacties
In https://twitter.com/SkelSec/status/1346517626026123268 (bron: [1]) claimt SkelSec dat hij/zij vanuit een webbrowser, gebruikmakend van WebSockets en een in WebAssembly gemaakte SMB implementatie, hosts aan het LAN kan benaderen.

[1] https://www.heise.de/news/l-f-Security-Albtraum-SMB-im-Browser-5005070.html

Sourcecode hiervoor is nog niet gepubliceerd (t.z.t. waarschijnlijk onder https://github.com/skelsec), maar scary is dit m.i. wel.

De voortdurende drang om steeds meer functionaliteit aan webbrowsers toe te voegen, leidt niet alleen tot een voorturende stroom aan kwetsbaarheden t.g.v. implementatiefouten, maar ook grote en (door de ontwerpers kennelijk onvoorziene) risico's. Ik betwijfel of ondersteuning voor alle "Mobile Code" die we in toenemende mate zien, op termijn wel houdbaar is qua beveiliging - we moeten veel te veel eigenaren van (grotendeels onzichtbare) webservers blindelings vertrouwen zodra we onze webbrowser gebruiken.
Reacties (8)
07-01-2021, 12:02 door Bitje-scheef
Webbrowsers worden ook steeds trager.
07-01-2021, 12:30 door Anoniem
Scary? Het is in principe allang mogelijk. Niets nieuws.
07-01-2021, 13:10 door Anoniem
Alleen als SMB in de TCP layer is gewrapped.

Native SMB kan niet benaderd worden, lijkt mij.
07-01-2021, 17:39 door Erik van Straten
Door Anoniem: Scary? Het is in principe allang mogelijk. Niets nieuws.
Dat iets "in principe" mogelijk is, zegt niets. Het gaat om de praktijk.

SMB is een ingewikkeld protocol. De ervaring leert dat zodra iemand de moeite heeft gedaan om tooling te bouwen (de middelen beschikbaar zijn), niet alleen red teamers maar ook kwaadwillenden daar gebruik van gaan maken.
08-01-2021, 08:18 door Anoniem
Door Erik van Straten:
Door Anoniem: Scary? Het is in principe allang mogelijk. Niets nieuws.
Dat iets "in principe" mogelijk is, zegt niets. Het gaat om de praktijk.

SMB is een ingewikkeld protocol. De ervaring leert dat zodra iemand de moeite heeft gedaan om tooling te bouwen (de middelen beschikbaar zijn), niet alleen red teamers maar ook kwaadwillenden daar gebruik van gaan maken.

Je hoeft niet het gehele protocol te kennen om 'iets' te kunnen doen. Een broadcast welke host de domain-controller is, is voldoende.
08-01-2021, 11:47 door Anoniem
Door Anoniem:
Je hoeft niet het gehele protocol te kennen om 'iets' te kunnen doen. Een broadcast welke host de domain-controller is, is voldoende.
Als er een domaincontroller is dan kun je meteen al veel minder.
Er wordt wel op de trommel geslagen met "kijk eens ze kunnen SMB doen" maar normaal gesproken is er natuurlijk nog
meer beveiliging, zoals accounts/wachtwoorden, voor je bij gegevens kunt.
En als er een domain is dan ook nog domain membership. Waar je ook weer voor moet authenticeren om dat te krijgen.

Het risico is vooral aanwezig bij kleine opstellingen thuis bijv met een NAS of mediaserver ofzo, waarbij men "voor
het gemak" maar alles heeft opengezet zonder authenticatie. Of bijvoorbeeld een Linux hobbyist met SAMBA server die
uit pure wanhoop bij het werkend krijgen van die authenticatie de boel maar helemaal open gezet heeft.
08-01-2021, 13:01 door Anoniem
Door Anoniem:
Door Anoniem:
Je hoeft niet het gehele protocol te kennen om 'iets' te kunnen doen. Een broadcast welke host de domain-controller is, is voldoende.
Als er een domaincontroller is dan kun je meteen al veel minder.
Er wordt wel op de trommel geslagen met "kijk eens ze kunnen SMB doen" maar normaal gesproken is er natuurlijk nog
meer beveiliging, zoals accounts/wachtwoorden, voor je bij gegevens kunt.
En als er een domain is dan ook nog domain membership. Waar je ook weer voor moet authenticeren om dat te krijgen.

Het risico is vooral aanwezig bij kleine opstellingen thuis bijv met een NAS of mediaserver ofzo, waarbij men "voor
het gemak" maar alles heeft opengezet zonder authenticatie. Of bijvoorbeeld een Linux hobbyist met SAMBA server die
uit pure wanhoop bij het werkend krijgen van die authenticatie de boel maar helemaal open gezet heeft.

Scan het hele IPv4 internet even af, en je hebt ongeveer 30-40.000 openstaande SMB servers te pakken zonder authenticatie. OOK van bedrijven.
08-01-2021, 17:24 door Anoniem
Door Anoniem:
Scan het hele IPv4 internet even af, en je hebt ongeveer 30-40.000 openstaande SMB servers te pakken zonder authenticatie. OOK van bedrijven.
Dat zal best. Maar daar gaat het hier niet over!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.