Sikkerhetshendelse? Ring nødnummer 21 62 79 79!

 Hendelse? MENY

Angripernes beste venn i snart 20 år: Windows Networking (SMB port 445)

Noen enkle grep vi har gjort for våre kunder siden 2003, som hindrer f.eks. spredning av NotPetya og WannaCry

Vi som har jobbet lenge i sikkerhetsbransjen og som har vært med på noen runder med nettverksormer, kryptovirus og diverse hackerangrep vet at det er enkelte tjenester som blir oftere utnyttet en andre. Vi har sett hvordan Windows Networking med TCP port 137, 139 og 445 har blitt utnyttet gang på gang.

3. august 2003, dagen da østkysten av USA ble mørklagt, hele verden var rammet av nettverks ormen MS Blaster/Lovsan. En av de største sikkerhetshendelsene i historien. Internett ble overbelastet i området på grunn av trafikkmengden som ble skapt. MSBlaster/Lovsan spredde seg automatisk ved bruke av Windows Networking, en ganske lik metode som senere har blitt brukt av Downadup i 2009, og de siste årene med ulike krypto-virus som WannaCry & NotPetya.

«Pass the hash» & «Lateral movement»
Nettverksormene og diverse kryptovirus er skremmende nok, og har rammet og tatt ned mange store virksomheter. Men Windows Networking brukes ikke bare ved automatisk spredning internt i et nettverk. Det er de samme protokollene og portene som ofte benyttes når ondsinnede aktører beveger seg sidelengs internt i et nettverk; «lateral movement». Da brukes gjerne stjålne brukernavn og passord eller NTLM hash for å logge inn på ett eller mange systemer samtidig med f.eks. psexec og pass the hash. Det finnes selvfølgelig mange andre metoder som kan benyttes, men Windows Networking-protokollene SMB, RPC og Netbios over TCP/IP blir ofte brukt.

Blokker inngående Windows Networking mot klienten
Hvorfor har alle Windows-klienter disse portene åpne for alle klienter innenfor samme domene som standard ? Så lenge ikke disse klientene skal fungere som en fil-/print-server, så har de ikke behov for å ha disse portene åpne. For at du som administrator skal kunne få lov til å kopiere filer til, og for å gjøre en del administrasjonsoppgaver så trenger du disse portene åpne fra din maskin, eller aller helst fra en administrasjonsklient. Men stort sett ingen andre maskiner i nettverket trenger å nå klientene dine via disse portene. I utgangspunktet trenger mest sannsynlig ikke klientene din ha noen åpne porter inngående, bortsett fra eventuelt de portene som trengs for administrasjon, men disse bør begrenses til noen få source IP-adresser. Ved å innføre et slik brannmur-regelsett vil man fjerne mye risiko forbundet med nettverksspredning mellom klienter.

Ta kontakt med oss hvis du ønsker bistand med operativ sikkerhet, sikkerhetshendelser eller testing av sikkerhet.

Denne nettsiden benytter cookies for å analysere trafikkmønster. Les personvernerklæringen vår.