Schutz vor Zero Day Exploit gegen Windows Netbios bzw. SMB

Wie an mehreren Stellen im Internet zu lesen ist (Silicon, Heise, Blog von Laurent Gaffie) gibt es eine Sicherheitslücke in der Netbios / SMB Schnittstelle von Windows. Die Lücke führt momentan nur dazu das der Rechner stehen bleibt und nur per Stromentzug zum erneuten Mitarbeiten zu bewegen ist. Die Lücke lässt sich von einer infizierten Webseite und auch remote ausnutzen, einen Patch gibt es im Augenblick nicht dagegen. Ein denkbares Angriffsscenario könnte aber sein das man auf einer Webseite ein Script auslöst das per Netbios-Broadcast alle Rechner in dem Segment lahmlegt. Das möchte natürlich niemand. Um die Gefahr zu minimieren bietet es sich an die für die Netbios-Kommunikation notwendigen Ports zu sperren und einen Wins-Server in einem anderen Netzsegment wie die Clients einzusetzen.

Konfiguration der Firewall:

Die Firewalleinstellungen sind unter "Administrative Templates, Network, Network Connections, Windows Firewall, Domain Profile" zu tätigen. Bitte prüfen Sie ob bei Ihnen die vorhandenen Netzwerke in Active Directory, Sites and Services hinterlegt sind. Nur dann erkennen die Clients das das Firewallprofil "Domain Profile" anzuwenden ist.

Um die Firewall einzuschalten sind folgende Einstellungen in den Gruppenrichtlinien zu tätigen:

"Protect all Network connections" enable

"Allow inbound remote administration exeption" disable (damit können zwar keine Clients mehr verwaltete werden über die Konsolen, aber sicher ist sicher. Evtl. können Sie hier ein Geräte bzw. eine Ip eintragen von der aus nicht im Internet gesurft wird).

"Do not allow exeptions" enabled Für den Fall das bei Ihnen jemand lokale Adminrechte hat wird ihm damit das Einschalten / Konfigurieren von Ausnahmen in der Firewall verwehrt.

"Define inbound port exeptions" enabled An dieser Stelle bitte nicht die Ports 137,138,139,445 eintragen. Damit heben Sie ansonsten die gegen das Problem getroffene Sicherheitsmaßnahme wieder auf!

Was sich leider nicht schützen läßt:

  • Domain Controller (Fileshare für Skripte und GPO´s)
  • Fileserver (Port 445 für SMB)
  • Printserver (Port 445 für SMB)
  • Exchange 2007, 2010 (File Distribution Service Exchange OAB, CCR)

Die wichtigste Maßnahme dürfte sein sich möglichst nur auf sicheren Internetseiten zu bewegen und die Benutzer für die Gefahren im Internet zu sensibilisieren.

Noch eine Anmerkung zur Veröffentlichung zu Laurent Gaffie: Normalerweise sollte die Lücke an Microsoft gemeldet und gewartet werden bis ein Patch bereitsteht um die Lücke zu schließen. Die Gefahr das mögliche Schwachstellen ausgenutzt werden vermindert sich so enorm. Leider hat Laurent Gaffie hier gegen ein ungeschriebenes Gesetz verstoßen das möglicherweise viele Admins ausbaden müssen. Sehr schade, für derartige Aktionen habe ich überhaupt kein Verständnis.

 Update: Microsoft hat ein Advisory zu dem Problem veröffentlicht: http://www.microsoft.com/technet/security/advisory/977544.mspx

Viele Grüße

 

Walter Steinsdorfer

One thought on “Schutz vor Zero Day Exploit gegen Windows Netbios bzw. SMB”

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>