Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
Erklärung der SMBv3-Schwachstellen

Erklärung der SMBv3-Schwachstellen

Jun 25, 2024

Arbeitsplätze haben sich weiterentwickelt. Während hybride und Fernarbeit bereits vor COVID-19 existierten, wurden diese Arbeitsmodelle während und nach der Pandemie noch verbreiteter. Heute bieten Arbeitsplätze die Flexibilität für Mitarbeiter, von überall auf der Welt zu arbeiten und auf Unternehmensressourcen zuzugreifen, wobei das Server Message Block (SMB) Protokoll im Zentrum steht. Diese Flexibilität hat jedoch die Tür zu größeren Herausforderungen in der Cybersicherheit geöffnet, weil mehr als das traditionelle, auf dem Perimeter basierende Sicherheitsmodell erforderlich ist.

Dieser Artikel wird diese Cybersicherheitsbedenken untersuchen, insbesondere im SMBv3, und praktische Maßnahmen zur Identifizierung und Minderung derselben vorstellen.

Was ist SMBv3?

Server Message Block (SMB) bezieht sich auf ein Netzwerkprotokoll, das Anwendungen, Computern und Geräten die Kommunikation und das Teilen von Ressourcen wie Dateien, Druckern und seriellen Schnittstellen über ein Netzwerk ermöglicht. Es erleichtert die Kommunikation zwischen Clients (Geräte, die Zugriff auf Ressourcen anfordern) und Servern (Geräte, die Ressourcen bereitstellen) in einem lokalen Netzwerk (LAN) oder über das Internet.

Seit seiner Erstellung in den 1980er Jahren hat SMB mehrere Iterationen (mit Verbesserungen in Leistung und Sicherheit) durchlaufen, wobei SMBv3 die neueste ist.

SMBv3-Schwachstellen

Trotz der bedeutenden Verbesserungen, die an SMBv3 vorgenommen wurden, weist es immer noch einige Sicherheitsanfälligkeiten auf, wobei die Ausführung von Remote-Code eine der besorgniserregendsten ist. Remote-Code-Ausführung (RCE) ist eine Sicherheitsanfälligkeit, die es Bedrohungsakteuren ermöglicht, schädlichen Code auf einem Computer oder Netzwerk auszuführen oder zu starten, in der Regel aus der Ferne, um die vollständige Kontrolle zu erlangen.

SMBGhost (CVE-2020-0796)

Am 10. März 2020 veröffentlichte Microsoft versehentlich Informationen über eine neu identifizierte Schwachstelle (CVE-2020-0796) in SMBv3. Obwohl Microsoft diese Informationen schnell löschte, hatten Forscher sie bereits notiert. Dies zwang Microsoft dazu, zwei Tage später (am 12. März 2020) eine formal advisory zu veröffentlichen.

Diese Ereignisse veranlassten die Sicherheitsgemeinschaft dazu, CVE-2020-0796 als SMBGhost zu bezeichnen. Laut Microsoft könnte diese Schwachstelle zur Fernausführung von Code auf dem Server führen, was aufgrund der Schwere der Sicherheitslücke immer ein erhebliches Risiko darstellt.

Microsofts Hinweis hob hervor, dass böswillige Akteure diese Schwachstelle ausnutzen können, indem sie ein speziell gestaltetes Paket an ein Ziel, den SMBv3-Server, senden. Dies ähnelt stark der SMBv1 vulnerability. Der beängstigende Teil dieser Schwachstelle ist, dass Forscher sie als „wurmbar“ einstuften, was bedeutet, dass, wenn jemand eine Ihrer Maschinen ausnutzen würde, es sich potenziell von Maschine zu Maschine in Ihrer Umgebung verbreiten könnte.

Die speziell betroffene Version war 3.1.1, die neueste Version von SMBv3. Microsoft gab ebenfalls an, dass die Schwachstelle alle Windows 10 und Windows Server betrifft, die die Versionen 1903 und 1909 ausführen.

Glücklicherweise gibt es einige mögliche Milderungen und Umgehungen, um dieses Problem zu vermeiden, und am 3/12/2020 hat Microsoft einen patch veröffentlicht, der diese Schwachstelle behebt.

Ausgewählte verwandte Inhalte:

CVE-2022-24508

Zwei Jahre nach dem SMBGhost veröffentlichte Microsoft am 8. März 2022 ein weiteres Sicherheitsupdate in Bezug auf SMBv3. Beschrieben als eine Win32-Dateiauflistung Remote Code Execution-Schwachstelle, war CVE-2022-24508 eine weitere RCE-Schwachstelle, die hauptsächlich Windows 10 Version 2004 und neuere Versionen, die SMBv3 unterstützen, betraf.

Obwohl es nicht so viele Informationen über CVE-2022-24508 wie über SMBGhost gibt, ist es erwähnenswert, dass Microsoft die Schwere dieser Sicherheitsanfälligkeit als „wichtig“ eingestuft hat. Das bedeutet, dass Organisationen ihr immer noch die notwendige Aufmerksamkeit schenken sollten, indem sie Maßnahmen ergreifen, um sie zu verhindern.

Risiken und Auswirkungen von SMBv3-Schwachstellen

Da die bedeutendste Sicherheitsanfälligkeit von SMBv3 RCE ist, wird dieser Abschnitt die mit dieser Bedrohung verbundenen Risiken untersuchen. Diese umfassen Folgendes:

  • Unbefugter Zugriff: Die allererste Auswirkung eines RCE-Angriffs ist, dass sich böswillige Akteure unbefugten Zugang zum internen Netzwerk einer Organisation verschaffen. Dies kann ernsthafte Konsequenzen haben, wie Privilege Escalation, was den Angreifern mehr Autorität innerhalb des Netzwerks verleiht, um schädlichere Aktionen durchzuführen.
  • Datenpannen: Daten, insbesondere interne Unternehmensdaten (Firmengeheimnisse), sind eines der wichtigsten Vermögenswerte von Organisationen. Sollten diese Daten in die falschen Hände geraten, hätte das verheerende Auswirkungen. Daher ist einer der Hauptgründe, warum Angreifer RCE-Angriffe durchführen, um sensible Unternehmensdaten zu stehlen.
  • Verbreitung von Schadsoftware: Sobald sie in ein Netzwerk eingedrungen sind, können Angreifer Schadcode über Privilege Escalation auf andere verbundene Netzwerke und Geräte verbreiten.
  • Ransomware-Angriffe: Bedrohungsakteure können auch RCE-Angriffe nutzen, um Unternehmensressourcen „als Geisel zu halten.“ In einer solchen Situation sperren Angreifer Unternehmensadministratoren aus dem betroffenen Netzwerk aus oder verschlüsseln wichtige Daten und fordern eine Zahlung im Austausch für den Zugang.
  • Regulatorische Nichteinhaltung: Data breaches setzen Ihre Organisation einem Risiko der Nichteinhaltung von Gesetzen und Vorschriften aus, die die Datenverarbeitung regeln, wie die General Data Protection Regulation (GDPR) und der Health Insurance Portability and Accountability Act (HIPAA). Dies kann zu hohen Bußgeldern dieser Regulierungsbehörden und einem Verlust des Kundenvertrauens führen.
  • Finanzielle Verluste: Einzeln oder kombiniert können die oben diskutierten Risiken zu erheblichen Verlusten für betroffene Organisationen führen. Unternehmen riskieren schwere finanzielle Einbußen, von Lösegeldzahlungen bis hin zu Erholungskosten aufgrund von Ausfallzeiten und Strafzahlungen wegen Nichteinhaltung von Vorschriften.

Prävention und Minderung von SMBv3-Schwachstellen

Der erste (und offensichtlichste) Schritt, um SMBv3-Schwachstellen zu verhindern, besteht darin, die Patches anzuwenden, die Microsoft in der Vergangenheit bereitgestellt hat. Dies ist der effektivste Weg, um identifizierte Schwachstellen, für die bekannte Lösungen existieren, zu mildern.

Wenn Sie aus irgendeinem Grund die Patches kurzfristig nicht anwenden können, hat Microsoft eine Problemumgehung identifiziert, um zu verhindern, dass Bedrohungsakteure sie ausnutzen. Das Problem liegt in der SMB-Komprimierung, daher schützt das Deaktivieren dieser Funktion von SMB Sie davor, dass ein Angreifer versucht, sie auszunutzen.

Set-ItemProperty -Path "HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 1 -Force

Der obige PowerShell-Code wird Ihre Registrierung aktualisieren und die Komprimierungsfunktion auf SMB-Servern deaktivieren. Dies wird Ihre SMB-Clients nicht schützen; der Code, der benötigt wird, um Ihre Clients zu aktualisieren, ist unten:

Set-ItemProperty -Path "HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 0 -Force

Glücklicherweise erfordert keines dieser Updates der Registrierung einen Neustart, um wirksam zu werden.

Eine Frage, die Sie haben könnten, betrifft die Auswirkungen, die das Abschalten der SMB-Komprimierung haben wird. Microsoft erwähnt in ihrer advisory dass SMB-Komprimierung in Windows oder Windows Server noch nicht verwendet wird. Es wird keine negativen Auswirkungen auf die Leistung haben.

Best Practices zur Minderung von Risiken im Zusammenhang mit SMBv3-Schwachstellen

Während das Aufspielen der Patches unerlässlich ist und dabei helfen kann, gegen SMBv2-Schwachstellen zu schützen, gibt es mehrere Maßnahmen, die Sie ergreifen können, um den maximalen Schutz der Netzwerke Ihrer Organisation zu gewährleisten, einschließlich der folgenden.

Verwenden Sie die neuesten Versionen von SMB

Die neuesten Versionen von SMB enthalten in der Regel Aktualisierungen, die Ihr Netzwerk sicherer machen können. Wie bereits erwähnt, hat Microsoft seit der Erstveröffentlichung mehrere Updates für SMB herausgebracht. Obwohl die neueste Version SMBv3 ist, gab es immer noch kleinere Updates innerhalb der Version und zum Zeitpunkt des Schreibens dieses Artikels ist das aktuellste SMB 3.1.1, entwickelt für Windows 10 und Windows Server 2016. Beispielsweise hat diese Version mehrere Aktualisierungen die sie sicherer machen als vorherige Versionen, wie zum Beispiel:

  • Verschlüsselung
  • Verzeichniscaching
  • Integrität vor Authentifizierung
  • Unterstützung für Rolling-Cluster-Upgrades

Segmentieren Sie Ihr Netzwerk

Im Falle eines Angriffs können Bedrohungsakteure Privilegienerweiterung nutzen, um die Auswirkungen auf verbundene Netzwerke auszubreiten. Sie können das Ausmaß und den Umfang des Angriffs reduzieren, indem Sie Ihr Netzwerk in kleinere, isolierte Segmente oder Subnetze unterteilen. Auf diese Weise können Hacker, selbst wenn sie eine Schwachstelle in einem Segment ausnutzen, diese nicht verwenden, um auf ein anderes in Ihrem Netzwerk zuzugreifen.

Überwachung des Netzwerkverkehrs

Auch mit Patches und der Umsetzung von Sicherheitsbestpraktiken müssen Sie auf der Hut vor verdächtigem oder abnormalem Verhalten und sogar bekannten Angriffssignaturen in Ihrem Netzwerk sein. Um dies zu tun, können Sie die folgenden Strategien implementieren:

  • Legen Sie eine Basislinie für normales Netzwerkverhalten fest; jede Abweichung davon sollte als potenzielle Bedrohung markiert werden.
  • Nutzen Sie Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS)
  • Verwenden Sie Tools zur Analyse des Netzwerkverkehrs
  • Analysieren Sie Endpunkt-Telemetriedaten und Verhaltensmuster
  • Aktivieren Sie das Logging auf network devices

Firewalls konfigurieren

Firewalls können äußerst hilfreich sein, um die Integrität Ihres Netzwerks zu schützen. Sie funktionieren, indem sie eine Verweigerungsrichtlinie durchsetzen, bei der Ihr Netzwerk jeglichen eingehenden und ausgehenden Verkehr blockiert, der nicht in die „erlaubte“ Kategorie der Firewall-Einstellungen fällt. Wenn Sie beispielsweise Firewalls so konfigurieren, dass SMB-Verkehr nur auf bestimmte IP-Adressen oder Subnetze beschränkt ist, können Sie unbefugten Zugriff durch Remote-Execution-Angriffe verhindern.

Wie Netwrix helfen kann

SMB-Schwachstellen gab es schon immer und werden auch immer vorhanden sein. Aber nur weil das die Realität ist, bedeutet das nicht, dass Sie dies als Status quo akzeptieren und nichts dagegen unternehmen sollten. Sie können und sollten proaktive Maßnahmen ergreifen, um das Netzwerk Ihrer Organisation gegen Sicherheitslücken und die damit verbundenen Risiken zu schützen.

Glücklicherweise kann Netwrix helfen. Wir haben Identity Threat Detection and Response (ITDR) Lösungen, die Ihnen Ruhe verschaffen können. Netwrix ITDR-Lösungen helfen Ihnen dabei, potenzielle Bedrohungen zu identifizieren, indem sie Echtzeitwarnungen bereitstellen. Sobald identifiziert, helfen diese Lösungen Ihnen, die Bedrohungen schnell und automatisch mit voreingestellten Playbooks zu stoppen. Schließlich erleichtert Netwrix den schnellen Wiederherstellungsprozess für Ihr Netzwerk, indem es dieses in seinen Zustand vor dem Angriff zurückversetzt.

Benötigen Sie eine proaktive Lösung, um SMBv3-Schwachstellen zu verhindern?Kontaktieren Sie uns noch heute um herauszufinden, wie wir Ihnen helfen können.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Kevin Joyce

Direktor für Product Management

Director of Product Management bei Netwrix. Kevin hat eine Leidenschaft für Cybersicherheit, insbesondere das Verständnis der Taktiken und Techniken, die Angreifer nutzen, um Umgebungen von Organisationen auszunutzen. Mit acht Jahren Erfahrung im Produktmanagement, mit Schwerpunkt auf Active Directory und Windows-Sicherheit, hat er diese Leidenschaft genutzt, um Lösungen für Organisationen zu entwickeln, die ihre Identitäten, Infrastruktur und Daten schützen helfen.

Erfahren Sie mehr zu diesem Thema

Auffinden von missbrauchbaren Active Directory-Berechtigungen mit BloodHound

AD Certificate Services: Risikobehaftete Einstellungen und deren Behebung

Was ist ein DCSync-Angriff?

How to Prevent Cyber Attacks: Strategies and Best Practices

Cyberangriffe im Jahr 2023: Wichtige Vorfälle und die daraus gezogenen Lehren für 2025

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen