Das Microsoft Server Message Block (SMB) -Protokoll wird in vielen Unternehmen, die Windows-PCs in ihrer Umgebung einsetzen, hauptsächlich für die gemeinsame Nutzung von Dateien im lokalen Netzwerk und den Zugriff auf Remote-Dienste verwendet. SMB ist auch ein sehr gutes Beispiel für niedrig hängende Früchte für Angreifer, da es ein Protokoll ist, das in vielen Diensten verwendet wird und eine lange Geschichte von unsicheren Konfigurationen oder Implementierungsfehlern hat. Für Angreifer bedeutet dies, dass sie sich relativ leicht Zugang zu einem Server verschaffen können, der das SMB-Protokoll verwendet, und dann von diesem Server aus auf andere Dienste und Anwendungen im gesamten Unternehmen übergreifen können.
Da viele Unternehmen nach wie vor auf SMB angewiesen sind, werden regelmäßig neue Sicherheitslücken, Bedrohungen und Verstöße im Zusammenhang mit dem Protokoll veröffentlicht. MalwareBytes Labs wies darauf hin, dass Ende letzten Jahres zwei bekannte Malware-Angriffe, Emotet und Trickbot, mit SMB-Schwachstellen verbunden waren. Erinnern Sie sich an WannaCry und seine zahlreichen EternalBlue- und EternalX-Kohorten? Laut unseren Freunden von MalwareBytes waren auch sie mit einer SMB-Schwachstelle verbunden. Da sich Angreifer über SMB-Server Zugang verschaffen, nutzen sie bei beiden Malware-Angriffen wurmartige Funktionen, um sich langsam im Unternehmen auszubreiten.
Was gibt es Neues auf Censys?
Wir haben vor kurzem große Mengen an neuen Internet-Scandaten über SMB-Ports hinzugefügt, darunter:
Arten der Authentifizierung
SMB-Fähigkeitsflags:
- Verschlüsselung
- Verteiltes Dateisystem
- Multi-Credit-Operationen
- Multi-Channel-Sitzungen
- Dauerhafte Griffe
- Leasing / Verzeichnis-Leasing
Zielname des in SMB-Nachrichten gefundenen Hosts
Für Pentesting- und Bedrohungsabwehr -Anwender bedeutet dies, dass sie nun leichter Hosts aufspüren können, die für Windows-Malware-Angriffe wie WannaCry und EternalBlue anfällig sind, und diese detaillierteren Daten zu jedem betroffenen Host analysieren können.
Suche nach dem SMB-Protokoll in Censys
Der einfachste Weg, mit unserem neuen SMB-Reporting in Censys zu beginnen, ist die Suche nach dem SMB-Tag:
https://censys.io/ipv4?q=tags%3Asmb
Alle zusätzlichen SMB-Daten, die wir in diesem Update hinzugefügt haben, sind nun im bestehenden SMB-Tag enthalten.
Sicherung von SMB
Wir geben zu, dass wir ein wenig wie eine kaputte Schallplatte klingen, aber die wichtigste Erkenntnis für unsere Leser im Bereich Unternehmenssicherheit ist, dass Sie sicherstellen sollten, dass alle von Ihnen genutzten SMB-Dienste gepatcht und auf dem neuesten Stand sind.
Es ist auch eine gute Idee, einen Blick darauf zu werfen, wer Zugang zu diesen Hosts hat und ob es einige Benutzer gibt, die mehr Zugang haben, als sie brauchen.
Microsoft verfügt über eine schwindelerregende Anzahl von Sicherheitsoptionen, mit denen Sie Ihr System abriegeln können, aber es ist kompliziert. Diese Dokumentation sowie das Microsoft Security Baseline Tool sind ein guter Ausgangspunkt. Stellen Sie sicher, dass diese Hosts gut konfiguriert und sicher sind, vor allem, wenn sie über das Internet zugänglich sind.
Abonnieren Sie uns, um Produkt-Updates, interessante Forschungsergebnisse und mehr direkt in Ihren Posteingang zu erhalten. Vergessen Sie auch nicht, uns auf Twitter zu folgen.
