Wie Sie vielleicht wissen, hat Microsoft nach zahlreichen Ransomware-Angriffen beschlossen, SMBv1 auf Windows-Betriebssystemen standardmäßig zu deaktivieren.
Doch trotz der Veröffentlichung eines Patches (MS17-010), um diesen Angriffen zu begegnen, scheint es,Microsoft befürwortet weiterhinnichtes benutzen.
Noch verwirrender ist, dass der oben verlinkte Patch anscheinend nur den SMBv1-Server und nicht den Client anspricht:
Dieses Sicherheitsupdate behebt Sicherheitslücken in Microsoft Windows. Die schwerwiegendste dieser Sicherheitslücken kann Remotecodeausführung ermöglichen, wenn ein Angreifer speziell gestaltete Nachrichten an einen Microsoft Server Message Block 1.0 (SMBv1) sendet.Server.
In meinem Fall müsste ich auf meinem Windows 10-Computer den SMBv1-Client verwenden, um auf eine Netzwerkfestplatte zuzugreifen, die an ein Modem/Router angeschlossen ist, das nur SMBv1 unterstützt und direkt mit dem Internet verbunden ist …
Angenommen, der Patch behebt die Sicherheitslücken sowohl auf dem SMBv1-Server als auch auf den Clients. Warum wird uns dann weiterhin empfohlen, SMBv1 zu meiden?
Gehen wir wirklich ernsthafte Risiken ein, wenn wir es nach dem Patchen aktivieren?
Antwort1
Das Sicherheitsproblem mit SMBv1 ist ein Fehler im Protokolldesign. Selbst wenn Microsoft einen Weg gefunden hat, diebesondereTrotz der bisher festgestellten Angriffe können immer noch neue Varianten entwickelt werden, mit denen sich die Sperre umgehen lässt.
Der Versuch, SMBv1 weiterhin zu verwenden, würde zu einem Maulwurfspiel gegen die Malware-Autoren führen, bei dem jeder nach neuen Exploits Ausschau halten und in aller Eile Patches dafür erstellen und anwenden müsste, sobald diese auftauchen. Solange SMBv1 weit verbreitet wäre, würde der Strom neuer Exploits anhalten.
Microsoft hatte den Abkündigungsplan für SMBv1 bereits angekündigt, als der WannaCry-Wurm die Schwachstellen von SMBv1 ausnutzte, um sich wie ein Lauffeuer zu verbreiten. Daher beschloss Microsoft, das Problem durch eine Beschleunigung des Abkündigungsplans zu lösen: Dadurch würde die Grundursache der Schwachstellen vollständig beseitigt.
https://techcommunity.microsoft.com/t5/storage-at-microsoft/stop-using-smb1/ba-p/425858
SMB1 ist nicht sicher
Wenn Sie SMB1 verwenden, geht der Schlüsselschutz verloren, den spätere Versionen des SMB-Protokolls bieten:
- Integrität vor der Authentifizierung (SMB 3.1.1+). Schützt vor Sicherheits-Downgrade-Angriffen.
- Sichere Dialektaushandlung (SMB 3.0, 3.02). Schützt vor Sicherheits-Downgrade-Angriffen.
- Verschlüsselung (SMB 3.0+). Verhindert die Überprüfung von Daten auf dem Kabel und MiTM-Angriffe. In SMB 3.1.1 ist die Verschlüsselungsleistung sogar besser als die Signierung!
- Blockierung unsicherer Gastauthentifizierung (SMB 3.0+ unter Windows 10+). Schützt vor MiTM-Angriffen.
- Bessere Nachrichtensignierung (SMB 2.02+). HMAC SHA-256 ersetzt MD5 als Hashing-Algorithmus in SMB 2.02, SMB 2.1 und AES-CMAC ersetzt dies in SMB 3.0+. Die Signierungsleistung verbessert sich in SMB2 und 3.
Das Schlimme daran ist, dass, egal wie Sie all diese Dinge sichern, wenn Ihre Kunden SMB1 verwenden, ein Man-in-the-Middle Ihrem Kunden sagen kann, er solleignorieren Sie alle oben genannten. Sie müssen lediglich SMB2+ auf sich selbst blockieren und auf den Namen oder die IP Ihres Servers antworten. Ihr Client wird fröhlich auf SMB1 davonlaufen und all seine dunkelsten Geheimnisse preisgeben, es sei denn, Sie haben von vornherein eine Verschlüsselung dieser Freigabe verlangt, um SMB1 zu verhindern. Das ist keine Theorie – wir haben es schon erlebt.
Dieses Zitat stammt von Ned Pyle, dem damaligen Eigentümer des SMB-Protokolls bei Microsoft. Das ist also so direkt aus erster Hand, wie es nur geht.