Vladislav Kochelaevs - Fotolia
Wie man den Risikofaktor Windows SMB in den Griff bekommt
Windows SMB v1 weist Schwachstellen auf, die Remote-Code-Ausführung oder Denial-of-Service-Attacken erlauben. Daher sollte es deaktiviert werden.
Das US-CERT hat darauf hingewiesen, dass keine veralteten Versionen von Windows Server Message Block mehr eingesetzt werden sollten. Wie können Unternehmen feststellen, ob veraltete Protokoll-Versionen auf ihren Systemen aktiviert sind? Und was kann man tun, wenn dem so ist?
Das SMB-Protokoll (Server Message Block) dient als Client/Server-Protokoll für die Freigabe von Netzwerkdateien und ermöglicht es Anwendungen, auf einem Client Dateien zu lesen, in Dateien zu schreiben sowie Dienste von Serverprogrammen in einem Computernetzwerk anzufordern. Kurzum, über SMB wird die grundlegende Kommunikation der Dateidienste in Windows geregelt.
Die aktuellen Windows-Versionen unterstützen SMB v2 und SMB v3. Das Protokoll SMB v2 wurde mit Windows Vista und Server 2008 eingeführt. SMB v3 kam mit Windows 8 und Windows Server 2012 auf den Markt. Entsprechend betagt ist SMB v1 und so ist Microsoft bemüht, dieses Protokoll aus der aktiven Nutzung zu verbannen.
Nicht ohne Grund, denn die Verwendung von SMB v1 birgt zahlreiche Schwachstellen. Und diese Schwachstellen können Angreifern die Remote-Code-Ausführung sowie Denial-of-Service-Exploits erlauben. Systeme, bei denen dieses veraltete Protokoll aktiviert ist, bieten so eine Angriffsfläche für potentielle Attacken.
Microsoft hat im Lauf der Jahre das SMB-v1-Protokoll immer wieder gepatched, um Sicherheitslücken zu schließen. Inzwischen stehen, wie oben erwähnt, neuere Versionen zur Verfügung, die statt SMB v1 verwendet werden können.
Die letzte Windows-Version, die ausschließlich SMB v1 unterstützt hat, war der Windows Server 2003. Und dieser wird ja nun selbst seit geraumer Zeit nicht mehr von Microsoft mit Sicherheitsupdates unterstützt. Alle Windows-Versionen, die nach dem Server 2003 erschienen sind, unterstützen SMB v2 oder v3. Oftmals sind es Drucker, Storage-Lösungen oder auch Anwendungen, die ein aktiviertes SMB v1 voraussetzen. Aber selbst dann ist es häufig möglich, dass diese Lösungen auch mit den neueren SMB-Versionen zurechtkommen.
Angriffe über Windows SMB v1
Wenn in einem Netzwerk alle SMB-Varianten aktiviert sind, kann ein Angreifer das schwächste Glied angreifen und die Schwachstellen von SMB v1 ausnutzen. Indem der Angreifer dann die Kommunikation auf SMB v1 herunterstuft, kann er das System angreifen. Damit kann ein Man-in-the-middle-Angriff auf ein System mit aktiviertem SMB v1 zum Problem werden, auch wenn das Protokoll eigentlich gar nicht verwendet wird.
In den neueren Windows-Versionen hat Microsoft die Möglichkeit integriert, SMB v1 als optionale Komponente zu entfernen. Zudem kann man nun per Audit-Funktion abfragen, ob SMB v1 auf dem System verwendet wird. Dieser Befehl lautet wie folgt:
Set-SmbServerConfiguration --AuditSmb1Sccess $True
Wird das SMB-v1-Protokoll von einer Komponente verwendet, erscheint dies als Ergebnis. Der Admin kann dann die entsprechenden Lösungen näher untersuchen. Wenn hier Drucker oder Storage-Lösungen auftauchen, die SMB v1 verwenden, kann ein Update dieser Produkte unter Umständen Abhilfe schaffen.
Ist man sich sicher, dass man SMB v1 deaktivieren kann, ohne dass produktive Abläufe beeinträchtigt werden, dann geschieht dies mit folgendem Befehl:
Set-SmbServerConfiguration -- EnableSMB1Protocol $false.
Alternativ kann man das über den Windows Server Manager erledigen.
Zudem empfiehlt es sich, die Kommunikation aller SMB-Varianten nach außen mit dem Internet zu unterbinden. Dies geschieht dadurch, dass der TCP-Port 445, die UDP-Ports 137-138 und der TCP-Port 139 nicht von außen zugänglich sind.
Mit der beschriebenen Vorgehensweise sollte sich das Risiko durch das Windows-SMB-Protokoll verringern lassen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!