- Lid geworden
- 2 aug 2016
- Berichten
- 36.348
- Waarderingsscore
- 7.049
- Punten
- 113
- OS
- Windows 11 Professional
- AV
- Microsoft Defender, MBAM Free & Eset Online
- FW
- Windows Firewall
Er is verleden week een nieuw botnet ontdekt.
Het Smominru-botnet gebruikt, volgens Proofpoint-onderzoekers, de EternalBlue-exploit om misbruik te maken van een kwetsbaarheid in het Microsoft Server Server Block-protocol (SMB-protocol). EternalBlue en andere Windows-exploits maakten deel uit van een verzameling NSA-cyberwapens welke afgelopen jaar in april door Shadow Brokers online werden gezet en werden gebruikt in verscheidene aan aanvallen, waaronder de wereldwijde WannaCry ransomware-plaag.
Systeembeheerders in organisaties werden geadviseerd om daarom het SMB-protocol in Windows computers in hun netwerk te deactiveren om zo deze computers te beveiligen.
Ook al heeft Microsoft inmiddels een beveiligingspatch uitgebracht - er kan dus nog steeds misbruik worden gemaakt van het origionele IBM SMB-protocol.
Hoe werkt het SMB-protocol?
Het SMB-protocol stelt een applicatie - of de gebruiker van een applicatie - in staat om toegang te krijgen tot bestanden op een externe server, evenals andere bronnen, zoals printers, e-mail slots en named pipes. Zo kan een clienttoepassing bestanden op de externe server openen, lezen, verplaatsen, maken en bijwerken. Het kan ook communiceren met elk serverprogramma dat is ingesteld om een SMB-clientaanvraag te ontvangen.
Het SMB-protocol staat bekend als een responsverzoekprotocol, wat betekent dat het meerdere berichten verzendt tussen de client en de server om een verbinding tot stand te brengen.
Een vroeg dialect van het SMB-protocol, Common Internet File System (CIFS), kreeg bekendheid als een spraakzaam protocol dat WAN-prestaties (Wide Area Network) blokkeerde vanwege de gecombineerde last van latentie en de vele dankbetuigingen van CIFS. Het volgende dialect, SMB 2.0, verbeterde de efficiëntie van het protocol door de honderden opdrachten en subopdrachten tot slechts 19 te reduceren.
Het SMB-protocol werkt in laag 7, ook wel de toepassingslaag genoemd, en kan worden gebruikt via TCP / IP op poort 445 voor transport.
Vroege dialecten van het SMB-protocol gebruiken de Application Programming Interface (API) NetBIOS via TCP / IP, of oudere protocollen zoals de Internetwork Packet Exchange of NetBEUI. Tegenwoordig vereist communicatie met apparaten die geen ondersteuning bieden voor SMB rechtstreeks via TCP / IP het gebruik van NetBIOS via een transportprotocol, zoals TCP / IP.
Het uitschakelen van dit protocol is eenvoudiger dan het laat aanzien.
Ga daarvoor naar het Configuratiescherm » Programma's en onderdelen » Windows onderdelen in- of uitschakelen.
Haal nu het vinkje weg dat voor Ondersteuning voor SMB 1.0/CIFS voor het delen van bestanden
Door op OK te klikken zal je de melding krijgen dat Windows opnieuw opgestart dient te worden.
Het Smominru-botnet gebruikt, volgens Proofpoint-onderzoekers, de EternalBlue-exploit om misbruik te maken van een kwetsbaarheid in het Microsoft Server Server Block-protocol (SMB-protocol). EternalBlue en andere Windows-exploits maakten deel uit van een verzameling NSA-cyberwapens welke afgelopen jaar in april door Shadow Brokers online werden gezet en werden gebruikt in verscheidene aan aanvallen, waaronder de wereldwijde WannaCry ransomware-plaag.
Systeembeheerders in organisaties werden geadviseerd om daarom het SMB-protocol in Windows computers in hun netwerk te deactiveren om zo deze computers te beveiligen.
Ook al heeft Microsoft inmiddels een beveiligingspatch uitgebracht - er kan dus nog steeds misbruik worden gemaakt van het origionele IBM SMB-protocol.
Hoe werkt het SMB-protocol?
Het SMB-protocol stelt een applicatie - of de gebruiker van een applicatie - in staat om toegang te krijgen tot bestanden op een externe server, evenals andere bronnen, zoals printers, e-mail slots en named pipes. Zo kan een clienttoepassing bestanden op de externe server openen, lezen, verplaatsen, maken en bijwerken. Het kan ook communiceren met elk serverprogramma dat is ingesteld om een SMB-clientaanvraag te ontvangen.
Het SMB-protocol staat bekend als een responsverzoekprotocol, wat betekent dat het meerdere berichten verzendt tussen de client en de server om een verbinding tot stand te brengen.
Een vroeg dialect van het SMB-protocol, Common Internet File System (CIFS), kreeg bekendheid als een spraakzaam protocol dat WAN-prestaties (Wide Area Network) blokkeerde vanwege de gecombineerde last van latentie en de vele dankbetuigingen van CIFS. Het volgende dialect, SMB 2.0, verbeterde de efficiëntie van het protocol door de honderden opdrachten en subopdrachten tot slechts 19 te reduceren.
Het SMB-protocol werkt in laag 7, ook wel de toepassingslaag genoemd, en kan worden gebruikt via TCP / IP op poort 445 voor transport.
Vroege dialecten van het SMB-protocol gebruiken de Application Programming Interface (API) NetBIOS via TCP / IP, of oudere protocollen zoals de Internetwork Packet Exchange of NetBEUI. Tegenwoordig vereist communicatie met apparaten die geen ondersteuning bieden voor SMB rechtstreeks via TCP / IP het gebruik van NetBIOS via een transportprotocol, zoals TCP / IP.
Het uitschakelen van dit protocol is eenvoudiger dan het laat aanzien.
Ga daarvoor naar het Configuratiescherm » Programma's en onderdelen » Windows onderdelen in- of uitschakelen.
Haal nu het vinkje weg dat voor Ondersteuning voor SMB 1.0/CIFS voor het delen van bestanden