Forum: PC Hard- und Software SMB-Lücke seit 09.09.09 10.01 bekannt


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von John Doe (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Was haltet ihr davon das diese Lücke schon so lange bekannt ist.
Man sollte den Port 445 abschalten.

https://www.heise.de/security/meldung/Microsoft-warnt-vor-SMB-Luecke-in-Windows-Server-2008-und-Vista-755241.html

Edit: Dies bezieht sich nicht auf den "WannaCry"-Bug.

: Bearbeitet durch Moderator
von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
John Doe schrieb:
> Was haltet ihr davon das diese Lücke schon so lange bekannt ist.

Mal abgesehen vom interessanten Datum: WannaCry nutzt nicht die erste 
Lücke in SMB und garantiert auch nicht die letzte.

von Bla (Gast)


Bewertung
0 lesenswert
nicht lesenswert
John Doe schrieb:
> Man sollte den Port 445 abschalten.

Gibt es überhaupt einen vernünftigen Grund den nach außen offen zu 
haben?

von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Bla schrieb:
> Gibt es überhaupt einen vernünftigen Grund den nach außen offen zu
> haben?

Zum Internet hin nicht, aber im LAN schon. WannaCry läuft daher 
zweistufig: Einer fängt ihn sich ganz klassisch per Mail ein und der 
verteilt sich dann als Wurm im LAN.

von herbert (Gast)


Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Zum Internet hin nicht, aber im LAN schon. WannaCry läuft daher
> zweistufig: Einer fängt ihn sich ganz klassisch per Mail ein und der
> verteilt sich dann als Wurm im LAN.

Was ich nicht verstehe ist , warum in Sicherheitsrelevanten Bereichen 
wie Firmen, Krankenhäuser etc. Rechner Zugang zum Internet haben. Ein 
Intranet wäre doch viel sicherer und vom Internet her nicht angreifbar. 
Es scheint mir so , dass hier die Bequemlichkeit Oberhand hat. WannaCry 
wird sicher nicht der letzte Versuch sein. Ist doch ein Witz , dass in 
Krankenhäuser Operationen Ausfallen müssen weil die EDV von außen her 
lahm gelegt wurde.

von (prx) A. K. (prx)


Bewertung
1 lesenswert
nicht lesenswert
herbert schrieb:
> Was ich nicht verstehe ist , warum in Sicherheitsrelevanten Bereichen
> wie Firmen, Krankenhäuser etc. Rechner Zugang zum Internet haben.

Auch in Krankenhäusern wird E-Mail genutzt.
Ärzte benutzen auch mal das Internet für Recherche.

Klar, man müsste konsequente Segmentierung fahren, konsequent schmutzige 
und saubere Systeme trennen. Nur stünden dann vielfach 2 Rechner pro 
Arbeitsplatz und dafür ist kein Geld und kein Platz. Un et hätt noch 
emmer joot jejange.

Sicherheit kostet eine stattliche Menge Geld, Investition und Personal 
bzw. in Form teurer Support-Verträge. Dafür ist oft erst dann Geld da, 
wenn der Nutzen direkt ersichtlich ist. Sprich, wenn es mal laut genug 
gedonnert hat - oder vielleicht erst wenn der Blitz direkt einschlug. 
Davor ist es unproduktiv versenktes Geld, mit der bloss die lukrative 
Paranoia von Dienstleistern finanziert wird. Mal etwas pointiert 
formuliert.

Einige Krankenhäuser werden nun wieder mal etwas teurer. Das hart 
getroffene britische Gesundheitssystem hat sowieso schon zu wenig Geld. 
Nun gibts halt die Wahl, entweder das Geld dafür auszugeben, Menschen zu 
helfen. Oder für mehr Sicherheit, mit der man niemandes Gesundheit 
fördert. Und alle am Tropf hängenden Krankenhäuser wollen das auch noch 
gleichzeitig aus staatlichem Topf - ein Alptraum für öffentliche 
Finanzkalkulation.

: Bearbeitet durch User
von Alex W. (a20q90)


Bewertung
0 lesenswert
nicht lesenswert
Zum Thema SMB:

Unser Admin sagt: "Ins Internet gibt man SMB nicht frei! Das machen nur 
Baueradmins. Selbst IM eigenen Netzwerk sollte man das nicht machen, 
wenn mehere User unterwegs sind."

Abgesehen davon ist SMB nicht verschlüsselt. Die Anmeldeinfos sind klar 
lesbar wenn ein Datenstrom im Netzwerk abgefangen wird. Daür gibt es 
WebDAV über SSL. Moderner geht aber auch anders.

von (prx) A. K. (prx)


Bewertung
2 lesenswert
nicht lesenswert
Alex W. schrieb:
> Unser Admin sagt: "Ins Internet gibt man SMB nicht frei! Das machen nur
> Baueradmins.

Korrekt. Macht aber auch kaum jemand und ist nicht der Ausbreitungsweg 
von WannaCry in dein Netz.

> Selbst IM eigenen Netzwerk sollte man das nicht machen,
> wenn mehere User unterwegs sind."

Öhm... Wenn du in einem Windows-Netz SMB generell abschaltest, dann 
kannst du ebenso gut auch gleich den Netzwerkstecker ziehen und Daten 
per USB-Stick transportieren.

> Die Anmeldeinfos sind klar
> lesbar wenn ein Datenstrom im Netzwerk abgefangen wird.

Die Anmeldeinformation in SMB wurde schon vor zig Jahren verschlüsselt 
übertragen (NTLM). Auch bei SMBv1. Allerdings sind alte Versionen der 
Authentifizierung unsicher.

Verwechselt hier jemand SMB mit FTP?

: Bearbeitet durch User
von (prx) A. K. (prx)


Bewertung
1 lesenswert
nicht lesenswert
Man darf aber mit einigem Recht fragen, welcher Teufel die Bank of China 
geritten hat, ausgerechnet bei ihren Geldautomaten unbedingt SMB zu 
öffnen. Das ist genau die Sorte embedded PC, bei der man das wirklich 
nicht machen sollte:
http://www.zerohedge.com/news/2017-05-13/bank-china-atms-go-dark-ransomware-attack-slams-china

: Bearbeitet durch User
von Schreiber (Gast)


Bewertung
1 lesenswert
nicht lesenswert
herbert schrieb:
> Was ich nicht verstehe ist , warum in Sicherheitsrelevanten Bereichen
> wie Firmen, Krankenhäuser etc. Rechner Zugang zum Internet haben. Ein
> Intranet wäre doch viel sicherer und vom Internet her nicht angreifbar.
> Es scheint mir so , dass hier die Bequemlichkeit Oberhand hat. WannaCry
> wird sicher nicht der letzte Versuch sein. Ist doch ein Witz , dass in
> Krankenhäuser Operationen Ausfallen müssen weil die EDV von außen her
> lahm gelegt wurde.

Weil...

...viele Medizingeräte eine Fernwartungsschnittstelle für den 
Servicetechniker benötigen und diesen, bei Störungen, selbstständig 
bestellen können sollen

...heute nunmal über Internet mit den Zulieferern (externe Apotheken, 
Labore) kommuniziert wird.

...die Lagerhaltung nicht mehr mit Karteikarten organisiert wird. 
Nachschub wird teilweise automatisch bestellt. Per Internet...

...unterschiedliche Krankenhäuser und niedergelassene Ärzte miteinander 
kommunizieren können müssen ("das CT, das sie vor 2 Jahren aufgenommen 
haben, bitte")

...es im Notfall schnell gehen muss. Sicherheit kostet nunmal nicht nur 
Geld, sondern auch Zeit.

...mittlerweile in fast allem ein Computer steckt. Sogar im Heizkessel 
und im Telefon

...ein Verzicht auf Computer und deren Vernetzung den Personalaufwand in 
die Höhe treiben würde


und weil viele Hersteller von Geräten mit einem Embedded-PC nichts von 
bezahlbarer Produktpflege halten. Ich wundere mich nicht mehr, wenn ich 
(heute noch) von Windows NT 3.1 oder DOS begrüßt werde. Bei Linux sieht 
es nicht viel besser aus. Updates? Fehlanzeige!

von herbert (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Schreiber schrieb:
> ..viele Medizingeräte eine Fernwartungsschnittstelle für den
> Servicetechniker benötigen und diesen, bei Störungen, selbstständig
> bestellen können sollen

Die Sachen welche ich auf den diversen Intensivstationen gesehen habe 
liefen alle autark.

Schreiber schrieb:
> ...heute nunmal über Internet mit den Zulieferern (externe Apotheken,
> Labore) kommuniziert wird.
>
> ...die Lagerhaltung nicht mehr mit Karteikarten organisiert wird.
> Nachschub wird teilweise automatisch bestellt. Per Internet...
>
> ...unterschiedliche Krankenhäuser und niedergelassene Ärzte miteinander
> kommunizieren können müssen ("das CT, das sie vor 2 Jahren aufgenommen
> haben, bitte")

Da muß man halt zweigleisig fahren und für einfachere Dinge Rechner mit 
Internet bereitstellen.

Schreiber schrieb:
> ...ein Verzicht auf Computer und deren Vernetzung den Personalaufwand in
> die Höhe treiben würde

Davon ist ja nicht die Rede. Aber für das Lebenserhaltungssytem einer 
Klinik sollte es nur ein Intranet geben. Klopapier kann man ja dann 
wieder im Internet bestellen wenn das Problem mit einer Erpressung 
behoben ist.

von (prx) A. K. (prx)


Bewertung
1 lesenswert
nicht lesenswert
Schreiber schrieb:
> (heute noch) von Windows NT 3.1 oder DOS begrüßt werde.

Also grad DOS würde ich mittlerweile als ziemlich sicher betrachten. 
Kein Schwein schreibt noch Trojaner für DOS, sofern da überhaupt 
Netzwerk dranhängt.

von herbert (Gast)


Bewertung
0 lesenswert
nicht lesenswert
"Windows XP und Windows 2000 und Server 2003 unterstützen SMB2 nicht und 
sind daher auch nicht verwundbar."

Da bin ich ja richtig froh,dass mein Standrechner noch mit xp läuft. 
Mein Notebook hat allerdings W10. Nervig sind da die ständigen Updates 
welche über den Router ewig und drei Tage brauchen. Unentschlossen bin 
ich noch wegen dem neuen Updatepaket für W10. Damit wird ja schon fast 
ein W11 draus...

von (prx) A. K. (prx)


Bewertung
1 lesenswert
nicht lesenswert
herbert schrieb:
> "Windows XP und Windows 2000 und Server 2003 unterstützen SMB2 nicht und
> sind daher auch nicht verwundbar."
>
> Da bin ich ja richtig froh,dass mein Standrechner noch mit xp läuft.

Dir ist aber schon klar, dass sich dieser Satz auf den Bug von 2009 
bezieht, nicht auf den aktuellen Bug vom WannaCry?

Für XP gibts trotz Supportende einen Patch und dein Windows 10 ist nicht 
betroffen.

: Bearbeitet durch User
von herbert (Gast)


Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Dir ist aber schon klar, dass sich dieser Satz auf den Bug von 2009
> bezieht, nicht auf den aktuellen Bug vom WannaCry?

Nein, war mir jetzt nicht klar, aber Danke für den Hinweis. Den Patch 
habe ich gerade installiert.:-)

von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
@Mods: Würde empfehlen, den Startbeitrag zu kommentieren, damit nicht 
noch jemand drauf reinfällt und denkt, das bezöge sich auf den WannaCry 
Bug.

von Schreiber (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
herbert schrieb:
> Schreiber schrieb:
>> ..viele Medizingeräte eine Fernwartungsschnittstelle für den
>> Servicetechniker benötigen und diesen, bei Störungen, selbstständig
>> bestellen können sollen
>
> Die Sachen welche ich auf den diversen Intensivstationen gesehen habe
> liefen alle autark.

Bei größeren Geräten wie MRTs gilt das nicht.
Kleinere Geräte sind meist "nur" mit dem überwachungs-PC und der 
Schwesternrufanlage (auch die läuft heute häufig über Netzwerk) 
vernetzt. Teilweise zusätzlich noch mit Patientenakten-Server und 
NTP-Server. Zumindest dann, wenn sie nicht nur auf der Intensivstation 
betrieben werden.
Früher hat man eine Krankenschwester danebengesetzt.

herbert schrieb:
> Schreiber schrieb:
>> ...ein Verzicht auf Computer und deren Vernetzung den Personalaufwand in
>> die Höhe treiben würde
>
> Davon ist ja nicht die Rede. Aber für das Lebenserhaltungssytem einer
> Klinik sollte es nur ein Intranet geben. Klopapier kann man ja dann
> wieder im Internet bestellen wenn das Problem mit einer Erpressung
> behoben ist.
Nicht nur Klopapier. Wenn der große Tank mit Flüssigsauerstoff leer 
wird, bestellt dieser zeitig und selbstständig den Tankwagen mit 
Nachschub. Das hilft unnötige Anfahrten zu vermeiden und spart somit 
Geld.

In einer Klinik kann man auch die Medikamentenlogistik und die 
Stromversorgung vom OP als Lebenserhaltung betrachten. Hängt beides am 
Netzwerk, ersteres über die Apothekensoftware, letzteres über die 
Notstromversorgung.
Wenn das Baby bei einer Infektion kein Antibiotika sondern 500mg 
Paracetamol aus der Apotheke bekommt, ist es tot. Dummerweise braucht 
die Apothekensoftware Internet, damit sie Medikamente beim Großhändler 
bestellen kann.

Bei einem OP kann man mit der Fernwartung von USV und Notstromgenerator 
auch viele Probleme generieren. Wenn es jemand wirklich darauf anlegen 
würde, könnte er vermutlich die Stromversorgung unterbrechen. 
Notstromgenerator und USV können, bei Problemen oder Wartungsbedarf, den 
Hausmeister herbeirufen, das geht nicht ohne Netzwerkanschluss!
Früher gab es meist nur Störmeldekontakt und Blinklicht an der Pforte, 
maximal ein Telefonwählgerät.
Ach so, und der Notstromgenerator wird, zwecks Energiekostensenkung 
gleichzeitig noch als BHKW genutzt und in die Heizungsanlage 
eingebunden.

herbert schrieb:
> Da muß man halt zweigleisig fahren und für einfachere Dinge Rechner mit
> Internet bereitstellen.

Und wie kommen die Röntgen-Bilder jetzt vom Röntgengerät zur 
Patientenakte? Und von dort weiter zu einem anderen Krankenhaus und dort 
nochmals zur Patientenakte?
Per CD? USB-Stick? Ausdrucken und einscannen? Email?

Wenn es nicht ewig dauern soll, definitiv mit letzterem!

von Axel S. (a-za-z0-9)


Bewertung
0 lesenswert
nicht lesenswert
John Doe schrieb:
> Was haltet ihr davon das diese Lücke schon so lange bekannt ist.
> Man sollte den Port 445 abschalten.
>
> 
https://www.heise.de/security/meldung/Microsoft-warnt-vor-SMB-Luecke-in-Windows-Server-2008-und-Vista-755241.html

SMB an sich ist die Lücke. Daß Windows sonst nichts kann, ist traurig 
und disqualifiziert für sich allein Windows schon für sicherheits- 
kritische Anwendungen.

Daß so viele Leute ihre Systeme nicht automatisch haben updaten lassen, 
ist am Ende auch die Schuld von Microsoft. Zum einen kriegen sie es seit 
Jahrzehnten(!) nicht hin, Updates ohne permanente Reboots (und damit 
einhergehende Downtime, oft nicht mal manuell planbar) hin zu bekommen.

Zum anderen nutzen sie immer wieder den Update-Kanal dazu, ihre eigene 
Werbung - oder wie sonst soll man Programme, die das Upgrade auf eine 
neue Windows-Version zu erzwingen suchen, sonst nennen - auf die 
Kunden-Systeme zu kippen. Als Admin hat man dann die Wahl zwischen Pest 
und Cholera. Entweder automatisch updaten und sich tonnenweise ScheiXXe 
von Microsoft einhandeln. Oder Updates erst nach manueller Sichtung 
punktuell ausrollen, mit der Gefahr, einen wichtigen Fix zu versäumen.

Für mich persönlich ist deswegen die Grundregel: auf mission-critical 
Systemen gibt es etweder kein Windows (bevorzugt) oder zumindest kein 
Internet. Punkt.

von Soul E. (souleye) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:

> Für XP gibts trotz Supportende einen Patch und dein Windows 10 ist nicht
> betroffen.

Bei WE PosReady XP muss man sich mittlerweile auf die automatische 
Updatefunktion verlassen oder die Patches mit einem anderen Rechner aus 
der Knowledge Base holen. Die Update-Server bei M$ verweigern den 
Kontakt zum IE8, und neuere laufen unter XP nicht. Manuell "nach Updates 
suchen" funktioniert damit nicht mehr.

: Bearbeitet durch User
von herbert (Gast)


Bewertung
0 lesenswert
nicht lesenswert
soul e. schrieb:
> Die Update-Server bei M$ verweigern den
> Kontakt zum IE8, und neuere laufen unter XP nicht. Manuell "nach Updates
> suchen" funktioniert damit nicht mehr.

Auf der Start seite vom "Funkamateur" gibt es zwei Links zu MS für noch 
XP User. Da habe ich auch meinen Patch her. Da gibt es auch Updates für 
andere BS.

von Johannes S. (jojos)


Bewertung
1 lesenswert
nicht lesenswert
ich hatte gestern auch gesucht:
- bei Heise.de keine direkten links, nur immer zum MS-Security Bulletin 
MS17-010 und da wird XP nicht erwähnt
- über Google/Chip.de: nur Werbung, dann zur MS Download Seite. Nur 
Werbung für Surface Pro, Musik und Spiele. Irgendwo dann Links die 
falsch sind, für deutsches XP bekommt man eine XP embedded Version die 
natürlich nicht läuft.
- Suche bei MS nach 'wannacry' führt zu nix, ausser zu Werbung für 
Musik.

Erst im Heise.de Artikel unter User Kommentaren habe ich einen passenden 
Link gefunden. Kann also gar nicht so wichtig sein den Patch zu 
installieren :(
Das verstehe ich nicht so recht, das ist doch eine tickende Bombe. Auch 
wenn WannaCry jetzt halbwegs gestoppt ist, es ist doch nur eine Frage 
der Zeit bis der nächste diese Lücke ausnutzt.

Hier ist noch der MS-Update Katalog Link:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

: Bearbeitet durch User
von (prx) A. K. (prx)


Bewertung
1 lesenswert
nicht lesenswert
Axel S. schrieb:

> SMB an sich ist die Lücke. Daß Windows sonst nichts kann, ist traurig

Meist du zufällig NFS? Das geht in Windows auch. Verglichen damit war 
SMB aber zumindest früher sicher wie ein Banktresor.

> Daß so viele Leute ihre Systeme nicht automatisch haben updaten lassen,
> ist am Ende auch die Schuld von Microsoft. Zum einen kriegen sie es seit
> Jahrzehnten(!) nicht hin, Updates ohne permanente Reboots (und damit
> einhergehende Downtime, oft nicht mal manuell planbar) hin zu bekommen.

Ohne automatische Updates ist aber auch nicht unbedingt besser: Da sind 
dann 100 Updates eingespielt, wartend auf den Reboot. Der ist 
normalerweise eine Sache von 5-10 Minuten. Im Reboot merkt er dann nach 
diesen 10 Minuten, dass er sich verfranzt hat und nimmt alle 99 schon 
erledigten Updates wieder zurück, mit diversen Reboots und einer Dauer 
insgesamt 1 Stunde offline. Sagt hinterher aber nicht, mit welchem 
Update er ein Problem hatte. Was ein Spass!

von Matthias S. (Firma: matzetronics) (mschoeldgen)


Bewertung
0 lesenswert
nicht lesenswert
Hier ist die Seite zu Wannacrypt bei Microsoft - die Update Links sind 
unten in blau:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

: Bearbeitet durch User
von Schreiber (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Axel S. schrieb:
> Für mich persönlich ist deswegen die Grundregel: auf mission-critical
> Systemen gibt es etweder kein Windows (bevorzugt) oder zumindest kein
> Internet. Punkt.

...wenn es immer so einfach währe!

von Johannes S. (jojos)


Bewertung
0 lesenswert
nicht lesenswert
Axel S. schrieb:
> Daß so viele Leute ihre Systeme nicht automatisch haben updaten lassen,
> ist am Ende auch die Schuld von Microsoft

Und es gibt reichlich XP embedded und POS Anwendungen die gar keinen 
Draht zum Internet haben. Und genau die werden jetzt im Netzwerk 'von 
innen' aufgefressen, da gibt es gar keinen Anwender der etwas 
aktualisieren könnte.

: Bearbeitet durch User
von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Johannes S. schrieb:
> Und es gibt reichlich XP embedded und POS Anwendungen die gar keinen
> Draht zum Internet haben. Und genau die werden jetzt im Netzwerk 'von
> innen' aufgefressen, da gibt es gar keinen Anwender der etwas
> aktualisieren könnte.

Nur sollten jene, die diese Systeme eingerichtet haben, sich ernsthaft 
fragen, ob die Systeme unbedingt SMB benötigen.

: Bearbeitet durch User
von Soul E. (souleye) Benutzerseite


Bewertung
1 lesenswert
nicht lesenswert
herbert schrieb:

> soul e. schrieb:
>> Die Update-Server bei M$ verweigern den
>> Kontakt zum IE8, und neuere laufen unter XP nicht. Manuell "nach Updates
>> suchen" funktioniert damit nicht mehr.
>
> Auf der Start seite vom "Funkamateur" gibt es zwei Links zu MS für noch
> XP User.

Richtig, Links. Das sind die Dinger, die man mit Firefox anklickt, und 
das funktioniert natürlich auch weiterhin problemlos.


Was nicht mehr funktioniert ist "Start" - "Programme" - "Windows 
Update". Das läuft über den IE8, und der wird nicht mehr unterstützt.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.