SMB via WebSockets naar LAN
[1] https://www.heise.de/news/l-f-Security-Albtraum-SMB-im-Browser-5005070.html
Sourcecode hiervoor is nog niet gepubliceerd (t.z.t. waarschijnlijk onder https://github.com/skelsec), maar scary is dit m.i. wel.
De voortdurende drang om steeds meer functionaliteit aan webbrowsers toe te voegen, leidt niet alleen tot een voorturende stroom aan kwetsbaarheden t.g.v. implementatiefouten, maar ook grote en (door de ontwerpers kennelijk onvoorziene) risico's. Ik betwijfel of ondersteuning voor alle "Mobile Code" die we in toenemende mate zien, op termijn wel houdbaar is qua beveiliging - we moeten veel te veel eigenaren van (grotendeels onzichtbare) webservers blindelings vertrouwen zodra we onze webbrowser gebruiken.
Native SMB kan niet benaderd worden, lijkt mij.
SMB is een ingewikkeld protocol. De ervaring leert dat zodra iemand de moeite heeft gedaan om tooling te bouwen (de middelen beschikbaar zijn), niet alleen red teamers maar ook kwaadwillenden daar gebruik van gaan maken.
SMB is een ingewikkeld protocol. De ervaring leert dat zodra iemand de moeite heeft gedaan om tooling te bouwen (de middelen beschikbaar zijn), niet alleen red teamers maar ook kwaadwillenden daar gebruik van gaan maken.
Je hoeft niet het gehele protocol te kennen om 'iets' te kunnen doen. Een broadcast welke host de domain-controller is, is voldoende.
Je hoeft niet het gehele protocol te kennen om 'iets' te kunnen doen. Een broadcast welke host de domain-controller is, is voldoende.
Er wordt wel op de trommel geslagen met "kijk eens ze kunnen SMB doen" maar normaal gesproken is er natuurlijk nog
meer beveiliging, zoals accounts/wachtwoorden, voor je bij gegevens kunt.
En als er een domain is dan ook nog domain membership. Waar je ook weer voor moet authenticeren om dat te krijgen.
Het risico is vooral aanwezig bij kleine opstellingen thuis bijv met een NAS of mediaserver ofzo, waarbij men "voor
het gemak" maar alles heeft opengezet zonder authenticatie. Of bijvoorbeeld een Linux hobbyist met SAMBA server die
uit pure wanhoop bij het werkend krijgen van die authenticatie de boel maar helemaal open gezet heeft.
Je hoeft niet het gehele protocol te kennen om 'iets' te kunnen doen. Een broadcast welke host de domain-controller is, is voldoende.
Er wordt wel op de trommel geslagen met "kijk eens ze kunnen SMB doen" maar normaal gesproken is er natuurlijk nog
meer beveiliging, zoals accounts/wachtwoorden, voor je bij gegevens kunt.
En als er een domain is dan ook nog domain membership. Waar je ook weer voor moet authenticeren om dat te krijgen.
Het risico is vooral aanwezig bij kleine opstellingen thuis bijv met een NAS of mediaserver ofzo, waarbij men "voor
het gemak" maar alles heeft opengezet zonder authenticatie. Of bijvoorbeeld een Linux hobbyist met SAMBA server die
uit pure wanhoop bij het werkend krijgen van die authenticatie de boel maar helemaal open gezet heeft.
Scan het hele IPv4 internet even af, en je hebt ongeveer 30-40.000 openstaande SMB servers te pakken zonder authenticatie. OOK van bedrijven.
Scan het hele IPv4 internet even af, en je hebt ongeveer 30-40.000 openstaande SMB servers te pakken zonder authenticatie. OOK van bedrijven.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Officer
36 - 40 uur
Als Security Officer zorg je dat het infrastructuur platform, de -broncode en de VECOZO werkplek van VECOZO zo min mogelijk kwetsbaarheden kennen. Dit doe je door kwetsbaarheden inzichtelijk te maken en op te lossen. Zo speel jij een cruciale rol in de beveiliging van al onze gegevens en bedrijfsmiddelen.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.