Vor über 20 Jahren wurde das Server Message Block (SMB) Protokoll von Microsoft eingeführt. Ähnlich wie viele andere Windows-Komponenten zeichnet sich SMB durch eine beeindruckende Abwärtskompatibilität aus und ermöglicht die Kommunikation über Netzwerke hinweg. Sogar mit Geräten, die nicht aus der Windows-Welt stammen. Diese Vielseitigkeit macht das Protokoll jedoch auch für Angreifer interessant.
Der Inhalt im Überblick
Die vielseitigen Funktionen des SMB-Protokoll
Das Server Message Block Protokoll wurde ursprünglich mit dem Zweck der Dateifreigabe entwickelt. Jedoch umfasst die Funktionalität mittlerweile wesentlich mehr Bestandteile:
- Dialektverhandlung
- Ermitteln anderer Microsoft SMB-Protokollserver im Netzwerk oder Durchsuchen des Netzwerks
- Drucken über ein Netzwerk
- Datei-, Verzeichnis- und Freigabezugriffsauthentifizierung
- Sperren von Dateien und Datensätzen
- Benachrichtigung über Datei- und Verzeichnisänderungen
- Erweiterte Dateiattributbehandlung
- Unicode-Unterstützung
- Opportunistische Sperren
Hierbei setzt der Großteil von Unternehmen auf Funktionen wie das Drucken über ein Netzwerk und die zentrale Dokumentenablage um Dateien für bspw. verschiedene Abteilungen übergreifend verfügbar zu machen.
Gleichzeitig zeichnet das SMB-Protokoll eine hohe Abwärtskompatibilität aus, welche besonders in historisch gewachsenen Infrastrukturen einen großen Vorteil bietet. So können auch ältere Geräte im Netzwerk problemlos mit neueren Systemen kommunizieren.
Die Kommunikation kann über verschiedene Netzprotokolle wie NetBIOS, NetBEUI, IPX oder TCP/IP umgesetzt werden. Angesiedelt ist das Server Message Block Protokoll auf der siebten Ebene des OSI-Modells, dem Application-Layer. In älteren Versionen war man für den Aufbau einer Verbindung zwischen zwei Geräten noch auf die Ports 137, 138, und 139 angewiesen. Inzwischen laufen SMB-Verbindungen direkt über TCP/IP mit dem Standard-Port 445.
Seit der Entwicklung von SMB durch IBM im Jahre 1983 wurde das Protokoll stetig weiterentwickelt. Um SMB auch für Linux- und Unix-Distributionen verfügbar zu machen, wurde das Samba Projekt ins Leben gerufen. Über die Jahre sind bis heute sieben SMB-Versionen veröffentlicht worden.
Während die bereits erwähnte Abwärtskompatibilität viele Vorteile mit sich bringt, bestanden im Besonderen in den ersten Versionen von SMB eine Vielzahl an Sicherheitsrisiken.
Unterschiedliche Versionen – deutliche Unterschiede in der Sicherheit
Neue Versionen des SMB-Protokolls brachten im Bereich der Performance Verbesserungen mit sich, im Besonderen sind die Änderungen im Bereich der Sicherheit hervorzuheben. Aber über viele Jahre wurde an der Abwärtskompatibilität festgehalten und so hat Microsoft im Juni 2013 SMB1 als veraltet eingestuft, welches erst seit Windows 10 Version 1709 nicht mehr standardmäßig installiert ist.
| SMB-Version | Unterstützt seit | Neue Features |
| CIFS | Windows NT 4.0 | Kommunikation über NetBIOS-Schnittstelle |
| SMB 1.0 | Windows 2000 | Direktverbindung über TCP |
| SMB 2.0 | Windows Vista, Windows Server 2008, Samba 3.5 |
diverse Performance-Upgrades, verbesserte Nachrichtensignierung, Caching-Funktion für Dateieigenschaften |
| SMB 2.1 | Windows 7, Windows Server 2008 R2 | Locking-Mechanismen |
| SMB 3.0 | Windows 8, Windows Server 2012, Samba 4.0 |
Multichannel-Verbindungen, Ende-zu-Ende-Verschlüsselung, Fernspeicherzugriff |
| SMB 3.0.2 | Windows 8.1, Windows Server 2012 R2 |
|
| SMB 3.1.1 | Windows 10, Windows Server 2016, Samba 4.3 |
Integritätsprüfung, AES-128-Verschlüsselung mit Galois/Counter Mode (GCM) |
In Bezug auf Sicherheitsaspekte des SMB-Protokolls steht nicht zuletzt die Signatur der zu übertragenen Nachricht im Fokus. Jede SMB-Nachricht enthält eine Signatur, die mit einem Sitzungsschlüssel und AES (Advanced Encryption Standard) erzeugt wird.
In der SMB 1.0 Version wurde noch der MD5 Hash-Algorithmus verwendet, welcher nicht mehr den gängigen Sicherheitsstandards entspricht. So sollte jedes Unternehmen, welches auf SMB angewiesen ist, mindestens auf SMB 2.02 setzen, welches wiederum SHA256 verwendet.
SMB 3.0 aufwärts bietet zudem Ende-zu-Ende-Verschlüsselung und erschwert sogenannte Man-In-The-Middle-Angriffe. Letzteres wurde in der Version 3.1.1 weiter verbessert.
Aktualisieren lohnt sich
Wie bereits dargestellt, empfiehlt es sich die neuste Version von SMB in der eigenen Umgebung zu verwenden. Doch die vielfach erwähnte Abwärtskompatibilität und somit die Möglichkeit der Verwendung von älteren Systemen, auf die ein Unternehmen ggf. zwingend angewiesen ist, bleiben in vielen Unternehmen unabdingbar. Oft lassen sich diese Systeme nicht ohne weiteres bzw. gar nicht mehr auf den neusten Stand bringen. Ist ein Unternehmen auf ein solches System angewiesen, gilt es dieses zumindest anderweitig abzusichern und bestenfalls vom Rest des Netzwerks weitestgehend abzukapseln. Andernfalls kann das System von Angreifern als Einfallstor und Sprungbrett zu möglicherweise sensiblen Systemen im Netzwerk dienen.
Ransomware Angriffe und das SMB-Protokoll
In der Vergangenheit haben Sicherheitslücken in den älteren Versionen des SMB-Protokolls teils weltweite Auswirkungen gehabt. So wurde eine Schwachstelle, bekannt als EternalBlue, in der Ransomware Kampagne namens WannaCry genutzt. Hierbei wurde ein speziell gefertigtes Paket an einen Zielserver versendet, welches verarbeitet wurde und somit den Angreifern die Kontrolle über das Zielsystem verschaffte.
In jüngerer Vergangenheit haben die beiden Schwachstellen SMBleed und SMBGhost deutlich gemacht, dass das SMB-Protokoll weiterhin ein beliebtes Ziel für Angreifer ist.
Mit simplen PowerShell Befehlen können Angreifer die verschiedenen, sich in einem Netzwerk befindlichen SMB-Shares auslesen. Namen von Shares mit eine „$“-Zeichen zeigen an, dass es sich um ein administratives Share handelt, für welches entsprechende Berechtigungen benötigt werden. Beispiele hierfür sind: C$, Admin$ und ICP$. Um die Shares eines Windowssystem von einem Linuxsystem aus auszulesen kann u. a. das Programm „smbclient“, welches Teil des Samba Programmpaketes ist, verwendet werden. Zudem kann dieses ebenfalls genutzt werden, um sich mit den passenden Anmeldedaten auf eines der ausgelesenen Shares zu verbinden, um dort Dateien hoch- oder herunterzuladen.
Diese Funktionalität machen sich Ransomware-Gruppen zunutze, um Malware in einem betroffenen Unternehmen zu verteilen und dann auszuführen. Die für die Benutzer eingebundenen SMB-Shares werden mit dem schadhaften Programm beschrieben und die Malware kann ausgeführt werden. Auf diese Weise erreichen Angreifer eine schnelle Verbreitung der Malware.
Die Vielseitigkeit des SMB-Protokolls steht außer Frage. Besonders Unternehmen profitieren von der ausgeprägten Abwärtskompatibilität, da sie häufig auf ältere Systeme angewiesen sind, die keine aktuellen Software-Updates mehr erhalten. Gleichzeitig wird deutlich, wie groß die Sicherheitslücken in den älteren Versionen des SMB-Protokolls tatsächlich sind.
So sollte Version 1.0 des Protokolls in jedem Fall deaktiviert werden. Systeme, bei denen ein Update auf SMBv 3.1.1 nicht möglich ist, sollten anderweitig abgesichert werden. Direkte SMB-Kommunikation zwischen Clients ist in den meisten Szenarien kaum erforderlich. Zudem sollte ein externer Zugriff über Port 445 – und bei Verwendung von SMBv1 auch Port 137, 138 und 139 – ebenso blockiert werden.
Eine weitere Möglichkeit bildet eine indirekte Absicherung, z. B. durch Mikrosegmentierung der Netzwerkarchitektur. So sollten angrenzende Systeme oder Netzwerkbereiche nur eingeschränkt vom betroffenen SMB-System erreichbar sein.
Zuletzt ist ein weitreichendes Monitoring hilfreich, um frühzeitig unerwünschte Verbindungen ausfindig zu machen und ggf. schnell reagieren zu können.
