TEM-EDV Müller
     
 
   
compis
 
start    
  be to be   Programme  
  datenschutz   Dose  
  privatkunden Wlan  
  projekte   Abkürzungen  
  news   64bit  
  Angebote      
  reparaturen      
       
  Schulung      

 

 
 

Bei ungepatchten Server und Clientrechner, ist die SMB1 Schnittstelle immer noch angreifbar. Hier ein Tutorial, wie man die SMB1 unter W10 oder Server deaktivieren kann. SMB=Server Message Block

 

Wir öffnen die WindowsPowerShell (Win - ausführen - powershell)

SMB1 kann Client- und Server-seitig deaktiviert werden: Damit ein Rechner, der selbst Freigaben bereitstellt, diese nicht mehr über SMB1 anbietet, geben Sie in der Powershell (mit Administrator-Rechten ausführen) folgenden Befehl ein:

Set-SmbServerConfiguration :

.-EnableSMB1Protocol $false -Force

Damit sich der PC nicht mehr mit fremden SMB1-Freigaben verbinden kann, geben Sie

Disable-WindowsOptionalFeature :

.-Online -FeatureName smb1protocol

in der Powershell ein. Damit ist das Zeitalter von SMB1 auf Ihrem System beendet.

 

Was ist SMB?

SMB ist ein Client-Server-Protokoll, das auf Basis von Anfrage und Rückmeldung (Request/Response) arbeitet. Der SMB-Client sendet seine Anfragen mit NetBIOS an einen Server. Er bekommt dadurch die Möglichkeit auf freigegebene Ressourcen, wie Dateien und Drucker zuzugreifen.
SMB sieht die vier Nachrichtentypen Sitzungssteuerung, Datei, Drucker und Nachricht für die Kommunikation zwischen Client und Server vor.

Viele Windows-Rechner kranken auch über ein Jahr nach dem WannaCry-Ausbruch immer noch an der ursprünglichen Schwachstelle – Schuld haben die Raubkopierer.
Altlasten des US-Geheimdienstes NSA bedrohen nach wie vor ungepatchte Windows-Computer. Wie mehrere Sicherheitsforscher und Anti-Viren-Hersteller berichten, gibt es immer noch haufenweise Malware, die es auf die mit dem Codenamen EternalBlue bezeichnete Schwachstelle abgesehen hat. Das Risiko trifft vor allem Rechner, auf denen raubkopierte Windows-Versionen im Einsatz sind. Für vernünftig gepflegte Systeme sollte EternalBlue schon lange keine Gefahr mehr darstellen, immerhin hatte Microsoft die zugrundeliegende Sicherheitslücke selbst in Windows-Versionen gestopft, die eigentlich schon lange keinen Support mehr bekommen.

SMB - Server Message Block
SMB (Server Message Block) ist ein Protokoll, das in lokalen Netzwerken für die Übertragung von Daten zwischen einem Client und einem Server verantwortlich ist. Es wird verwendet, um in Windows-Netzwerken Datei- und Verzeichnis-Freigaben und Druckdienste zu realisieren. SMB wird oft auch als Dateisystem bezeichnet, was es aber nicht ist. SMB kann man mit dem NFS-Protokoll zur Bereitstellung von Laufwerken im lokalen Netzwerk vergleichen. SMB arbeitet auf der 6. Schicht, der Darstellungsschicht, des OSI-Schichtenmodells.

SMB wurde ursprünglich von IBM im Rahmen von NetBIOS für OS/2 entwickelt. Microsoft setzte es dann für MS-DOS, Windows for Workgroups 3.11, Windows 9x und Windows NT ein. Im Jahr 1996 wurde SMB von Microsoft um CIFS (Common Internet File System) erweitert, um RPC-Dienste (Remote Procedure Call) im lokalen Netzwerk anbieten zu können. RPC-Dienste ermöglichen eine Kommunikation im Netzwerk nach dem Client-Server-Prinzip.

Obwohl SMB/CIFS für Windows-Netzwerke entwickelt wurde, existiert eine Software-Schnittstelle mit dem Namen Samba für Linux-basierte Betriebssysteme, die mit TCP/IP arbeiten. Mit Samba kann man Dienste anbieten, die typisch für Windows-basierte Netzwerke sind. Gleichzeitig ermöglicht Samba den Zugriff auf Windows-Server.

Ewiger Infektionskreislauf
Wie der AV-Hersteller Avira berichtet, finden sich allerdings nach wie vor mehr als 300.000 Rechner, die über ungepatchte Varianten der SMB1-Schnittstelle angreifbar sind. Die Dunkelziffer ist wahrscheinlich viel höher. Die verwundbaren Rechner werden immer wieder neu über die Lücke infiziert, obwohl Anti-Viren-Programme und auch die Trojaner gegenseitig immer wieder Schadcode entfernen. Da die zugrundeliegende Lücke allerdings ohne ein entsprechendes Windows-Update weiter klafft, stecken diese Geräte in einem nicht enden wollenden Infektionskreislauf fest. Ein Aspekt dabei ist auch, dass die verschiedenen Schadprogramme dabei immer wieder die umliegenden Netze auf der Suche nach neuen Opfern mit Traffic zumüllen.

Da es unrealistisch scheint, dass Nutzer von Windows-Raubkopien Systemupdates erhalten oder gar erhalten wollen, empfiehlt Avira den Betroffenen, das SMB1-Protokoll kurzerhand abzustellen. Hinweise dazu, wie das im Detail umzusetzen ist, finden sich auch bei Microsoft. Auf Systemen, auf denen Anti-Viren-Programme von Avira laufen und die entsprechende Sicherheitsupdates nicht installiert haben, führt Avira diesen Schritt für die Nutzer automatisch aus.

Folgen der NSA-Spionagetaktik
Die Auswirkungen der EternalBlue-Schwachstelle sind der Allgemeinheit spätestens nach den Massenausbrüchen der Trojaner WannaCry und Petya bekannt. Die Lücke stammt ursprünglich aus dem Zero-Day-Arsenal der NSA. Der US-Geheimdienst hatte sie mehr als drei Jahre lang für verdeckte Angriffe auf alle möglichen Ziele eingesetzt, bis die Agency die Lücke schließlich aus Angst vor der Hackergruppe Shadow Brokers an Microsoft meldete.

Das wiederum führte dazu, dass Microsoft zum ersten mal in seiner Firmengeschichte einen Patchday absagte, um die Schwachstelle so schnell wie möglich zu stopfen. Bei der NSA hieß es, die Ausbeute aus dieser einen Lücke sei "unglaublich" gewesen. Wie sich jetzt zeigt sind die Folgen der US-Sicherheitspolitik im Fall EternalBlue ebenfalls noch nicht ausgestanden. (fab)

Newsletter
Bitte füllen Sie alle mit * markierten Felder aus. (Pflichtfelder)
E-Mail Adresse*
Newsletter An/Abmeldung  
 
   
   

agb

impressum

kontakt

mail & tel