Olivier Le Moal - Fotolia
Wie sich Angriffe auf TCP Port 445 abwehren lassen
Windows-Admins sollten Port 445 TCP besonders sichern. Dieser ist Teil der Windows Netzwerk Services und gehört zu den meistattackierten Ports im Internet.
Der TCP-Port 445, der vor allem von den Microsoft Directory Services genutzt wird, gilt als einer der am meisten attackierten Netzwerkdienste – die WannaCry Ransomware etwa hat diesen Port massiv ausgenutzt. Wie kann man Angriffe effektiv abwehren?
Angreifer suchen sich einfache Ziele: Port 445 TCP, zusammen mit den Ports 135, 137 und 139 sind die typischen Ports für Microsofts Netzwerkdienste. Sie sind auf jedem Windows-System vorhanden und meist ungesichert. Auf TCP 445 läuft der Server Message Block (SMB), eine Kernfunktion von Microsoft-basierten LANs. Wer auf einem Windows-Host den Befehl netstat -an | more ausführt, der sieht Port 445 meist verfügbar und offen – und genau das ist das Problem.
Viele Attacken auf Port 445 werden über das lokale Netzwerk ausgeführt. Typisch hierfür ist Malware, die nach ungesicherten Windows-Systemen sucht. Andere Angriffe – wie eben WannaCry – haben ihren Ursprung jedoch außerhalb des lokalen Netzes. Diese erreichen jedes System für das Port 445 auf der Firewall geöffnet wurde.
Wie sich Exploits auf TCP 445 abwehren lassen
Unternehmen können bestimmte Sicherheitsmaßnahmen durchführen, um Windows gegen solche Angriffe abzusichern. Dazu gehört auch die Windows Firewall oder eine ähnliche Absicherung der Endpunkte. Der Nachteil: Werden die Netzwerkdienste komplett abgeschottet, vor allem die Domain Controller, kann die Netzwerkkommunikation massiv beeinträchtigt werden.
Was sollten Unternehmen also machen? Hier gilt es auf unterschiedlichen Ebenen anzusetzen:
- Windows und Software von Drittanbietern muss aktuell sein;
- Ein bewährtes Anti-Malware-Programm sollte auf jedem Endpunkt installiert sein. Dabei ist Qualität wichtiger als ein eventuell günstiger Volumenvertrag.
- Starke Kennwörter;
- Ein genaues Inventar über alle Systeme;
- Sinnvolle und stark gesetzte Berechtigungen, um sensible Informationen zu schützen;
- Sinnvoll gesetzte Audits mit Protokollierung und eine aktiven Systemüberwachung.
Den Port 445 offen zu lassen ist bereits seit längerer Zeit als gefährlich bekannt. Im Bericht „State of the Internet“, der 2013 vom Anbieter Akamai veröffentlicht wurde, war der Port einer der am meisten attackierten Windows-Dienste. Rund 30 Prozent aller Angriffe wurden darauf verzeichnet. Anwender sollte dies nicht überraschen. Bereits Monate vor der WannaCry-Attacke warnte das US-CERT alle Anwender, dass sie Systeme mit SMB v1 aktualisieren sollten.
Spätestens mit dem Ausbruch von WannaCry sollten Unternehmen ihre Bedrohungsprofile überarbeitet und SMB v1, wo immer möglich, deaktiviert haben. Microsoft will in einigen Versionen von Windows 10 und Windows Server 2016 das Protokoll ab dem Herbst 2017 serienmäßig deaktivieren. Zumindest wohl bei Neuinstallationen. Windows-Nutzer sollten alle Hosts blocken, die die alte Version noch verwenden.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!