06 Апр, 2023

Блок сообщений сервера (SMB)

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

SMB расшифровывается как Блок сообщений сервера. Это протокол, который используется для общего доступа к сетевым файлам и принтерам. SMB был впервые разработан Microsoft для своей операционной системы Windows, но с тех пор он был реализован в других операционных системах, таких как Unix, Linux и macOS. SMB позволяет нескольким компьютерам получать доступ к одним и тем же файлам и ресурсам по сети, а также обеспечивает аутентификацию и шифрование для защиты данных от несанкционированного доступа. SMB развивался на протяжении многих лет, и последней версией является SMB3, которая обеспечивает более высокую скорость передачи файлов, улучшенные функции безопасности и улучшенную производительность в сетях с высокой задержкой.

Общие порты SMB

Port 445 (TCP и UDP): Этот порт обычно используется SMB через TCP без необходимости NetBIOS.

Port 139 (TCP и UDP): Этот порт использовался более ранней версией SMB (SMB 1.0), которая работала на NetBIOS через TCP / IP (NBT).

Port 138 (UDP): Этот порт использовался более ранней версией SMB (SMB 1.0) для служб дейтаграмм через NetBIOS.

Port 137 (UDP): Этот порт использовался более ранней версией SMB (SMB 1.0) для служб имен через NetBIOS.

Стандартные команды от неавторизованных пользователей

nbtstat: Эта команда используется для отображения текущих подключений NetBIOS по протоколу TCP /IP (NBT) и связанной с ними информации. Его можно использовать для сбора информации о сервере SMB и сети.

net view: Эта команда используется для отображения списка общих ресурсов в сети. Неавторизованные пользователи могут использовать эту команду, чтобы попытаться идентифицировать уязвимые SMB-серверы.

net use: Эта команда используется для подключения к общему ресурсу SMB или сопоставления сетевого диска. Неавторизованные пользователи могут использовать эту команду для получения доступа к конфиденциальным данным.

smbclient: Эта команда является утилитой Linux, используемой для подключения к серверам SMB / CIFS. Неавторизованные пользователи могут использовать эту команду для попытки получить доступ к SMB-серверу из системы Linux.

Инструменты для использования протокола SMB

Ручные Инструменты:

  • nmap – инструмент исследования сети и аудита безопасности, который можно использовать для сканирования открытых портов SMB.

  • enum4linux – инструмент для перечисления общих ресурсов SMB и обнаружения уязвимостей в реализациях SMB.

  • smbclient – инструмент командной строки, который можно использовать для подключения к серверам SMB / CIFS и выполнения различных операций, таких как загрузка файлов, выгрузка файлов и выполнение команд.

  • smbmap – инструмент, который можно использовать для перечисления общих ресурсов SMB и выполнения различных операций, таких как загрузка файлов, выгрузка файлов и выполнение команд.

  • Metasploit – платформа тестирования на проникновение, которая включает в себя множество эксплойтов SMB и модулей для тестирования уязвимостей SMB.

  • Responder – инструмент для выполнения атак с отравлением LLMNR и NBT-NS для захвата учетных данных пользователей, которые могут быть использованы для получения доступа к общим ресурсам SMB.

  • Wireshark – анализатор сетевых протоколов, который может быть использован для сбора и анализа SMB-трафика.

  • CrackMapExec – инструмент для тестирования и использования уязвимостей SMB, включая атаки с использованием паролей, атаки с использованием хэша и многое другое.

  • BloodHound – инструмент для визуализации и анализа сложных сред Active Directory, который может быть использован для выявления и эксплуатации уязвимостей SMB.

  • SAMRi10 – инструмент для перечисления баз данных SAM и управления ими в системах Windows 10, который можно использовать для получения учетных данных пользователя для общих ресурсов SMB.

Автоматизированные инструменты:

  • OpenVAS – сканер уязвимостей с открытым исходным кодом, который включает в себя возможности сканирования и тестирования SMB.

  • Nessus – коммерческий сканер уязвимостей, который включает в себя возможности сканирования и тестирования SMB.

  • Qualys – облачный сканер уязвимостей, который включает в себя возможности сканирования и тестирования SMB.

  • Retina – коммерческий сканер уязвимостей, который включает в себя возможности сканирования и тестирования SMB.

  • Rapid7 – набор инструментов для управления уязвимостями и тестирования на проникновение, который включает в себя возможности сканирования и тестирования SMB.

  • Nikto – сканер уязвимостей веб-сервера, который включает в себя возможности сканирования и тестирования SMB.

  • Acunetix – сканер уязвимостей веб-приложений, который включает в себя возможности сканирования и тестирования SMB.

  • Burp Suite – инструмент тестирования безопасности веб-приложений, который включает в себя возможности сканирования и тестирования SMB.

  • ZAP – инструмент тестирования безопасности веб-приложений, который включает в себя возможности сканирования и тестирования SMB.

  • OWASP Zed Attack Proxy – инструмент тестирования безопасности веб-приложений, который включает в себя возможности сканирования и тестирования SMB.

Плагины для браузера:

  • Hackbar – надстройка Firefox, которая может использоваться для тестирования и эксплуатации уязвимостей веб-приложений, включая уязвимости SMB.

  • EditThisCookie – расширение Chrome, которое можно использовать для тестирования и эксплуатации уязвимостей веб-приложений, включая уязвимости SMB.

Последние пять известных CVE для SMB

CVE-2022-46181 – Gotify server - это простой сервер для отправки и получения сообщений в режиме реального времени с помощью WebSocket. Версии, предшествующие 2.2.2, содержат уязвимость XSS, которая позволяет прошедшим проверку подлинности пользователям загружать html-файлы. Злоумышленник может выполнить сценарии на стороне клиента **, если** другой пользователь открыл ссылку. Злоумышленник потенциально может завладеть учетной записью пользователя, который перешел по ссылке. Пользовательский интерфейс Gotify изначально не раскрывает такую вредоносную ссылку, поэтому злоумышленник должен заставить пользователя открыть вредоносную ссылку в контексте за пределами Gotify. Уязвимость была исправлена в версии 2.2.2. В качестве обходного пути вы можете заблокировать доступ к файлам, отличным от изображений, через обратный прокси-сервер в каталоге `./image`.

CVE-2022-40216 – Auth. (subscriber+) Messaging Block Bypass vulnerability in Better Messages plugin <= 1.9.10.69 on WordPress.

CVE-2022-35251 – A cross-site scripting vulnerability exists in Rocket.chat <v5 due to style injection in the complete chat window, an adversary is able to manipulate not only the style of it, but will also be able to block functionality as well as hijacking the content of targeted users. Hence the payloads are stored in messages, it is a persistent attack vector, which will trigger as soon as the message gets viewed.

CVE-2022-3033 – If a Thunderbird user replied to a crafted HTML email containing a <code>meta</code> tag, with the <code>meta</code> tag having the <code>http-equiv=”refresh”</code> attribute, and the content attribute specifying an URL, then Thunderbird started a network request to that URL, regardless of the configuration to block remote content. In combination with certain other HTML elements and attributes in the email, it was possible to execute JavaScript code included in the message in the context of the message compose document. The JavaScript code was able to perform actions including, but probably not limited to, read and modify the contents of the message compose document, including the quoted original message, which could potentially contain the decrypted plaintext of encrypted data in the crafted email. The contents could then be transmitted to the network, either to the URL specified in the META refresh tag, or to a different URL, as the JavaScript code could modify the URL specified in the document. This bug doesn’t affect users who have changed the default Message Body display setting to ‘simple html’ or ‘plain text’. This vulnerability affects Thunderbird < 102.2.1 and Thunderbird < 91.13.1.

CVE-2022-30273 – Протокол Motorola MDLC до 2022-05-02 неправильно обрабатывает целостность сообщений. Он поддерживает три режима безопасности: обычный, Устаревшее шифрование и Новое шифрование. В режиме устаревшего шифрования трафик шифруется с помощью блочного шифрования Tiny Encryption Algorithm (TEA) в режиме ECB. Этот режим работы не обеспечивает целостность сообщений и обеспечивает пониженную конфиденциальность выше уровня блока, как продемонстрировала атака ECB Penguin на любые блочные шифры.

Полезная информация

– SMB расшифровывается как Server Message Block, который представляет собой протокол, используемый для общего доступа к файлам и принтерам в операционных системах Windows.

– SMB был первоначально разработан IBM в 1980-х годах для использования в ее продукте LAN Manager.

– SMB развивался на протяжении многих лет: SMBv2 был представлен в Windows Vista, а SMBv3 - в Windows 8 и Windows Server 2012.

– SMB работает по протоколу TCP / IP и обычно использует порты 139 и 445.

– SMB поддерживает как общие, так и распределенные файловые системы.

– SMB поддерживает различные механизмы аутентификации и авторизации, включая NTLM и Kerberos.

– SMB может использоваться для доступа к файлам и принтерам в удаленных системах, а также для совместного использования файлов и принтеров в локальных системах.

– SMB может использоваться для доступа к метаданным файловой системы и управления ими, такими как разрешения и атрибуты.

– SMB можно использовать для доступа к удаленным записям реестра и для выполнения удаленных команд.

– SMB может использоваться для выполнения удаленных вызовов процедур (RPC) для различных задач управления и администрирования.

– SMB уязвим для различных угроз безопасности, включая атаки типа "человек посередине", атаки с ретрансляцией SMB и атаки с понижением уровня подписи SMB.

– SMB может быть защищен с помощью различных мер, таких как SMB-шифрование, SMB-подпись и контроль доступа.

– SMB используется различными другими протоколами и службами, такими как NetBIOS, NBT-NS и LLMNR.

– SMB широко используется в корпоративных средах и является обычной целью злоумышленников, стремящихся получить несанкционированный доступ к конфиденциальным данным.

– SMB поддерживается различными сторонними инструментами и утилитами, такими как Wireshark, nmap и Metasploit.

– Корпорация Майкрософт рекомендует использовать SMBv3 для повышения производительности, безопасности и надежности.

– SMB подвергался критике за его сложность и отсутствие взаимодействия с системами, отличными от Windows.

– SMB постоянно развивается, с новыми функциями и улучшениями, добавляемыми в каждой новой версии.

– SMB используется миллионами пользователей и организаций по всему миру, что делает его важнейшим компонентом многих ИТ-инфраструктур.

– SMB - это важная технология для понимания ИТ-специалистами, работающими с системами Windows или занимающимися сетевой безопасностью и администрированием.

Известные баннеры

Windows 95/98/ME: SMB 1.0 [1]
Windows NT 4.0: SMB 1.0 [2]
Windows 2000: SMB 1.0 [2]
Windows XP: SMB 1.0 3
Windows Server 2003: SMB 1.0 3
Windows Vista: SMB 2.0 [^4]
Windows Server 2008: SMB 2.0 [^4]
Windows 7: SMB 2.1 [^5]
Windows Server 2008 R2: SMB 2.1 [^5]
Windows 8: SMB 3.0 [^ 6]
Windows Server 2012: SMB 3.0 [^6]
Windows 8.1: SMB 3.0 [^ 6]
Windows Server 2012 R2: SMB 3.0 [^6]
Windows 10: SMB 3.0 [^ 6]
Windows Server 2016: SMB 3.0 [^6]
Windows Server 2019: SMB 3.1.1 [^7]

Книги для учебы SMB

Inside SMB Networking автор: Дэррил Гибсон – Эта книга предоставляет всесторонний обзор сетей малого и среднего бизнеса и охватывает такие темы, как сетевая архитектура, протоколы и безопасность. Она также включает практические примеры и упражнения, которые помогут читателям применить свои знания.

Troubleshooting Windows Server with PowerShell Дерек Шауланд – В этой книге рассматриваются различные методы устранения неполадок для Windows Server, включая устранение неполадок SMB с помощью PowerShell. В нем приведены практические примеры и пошаговые инструкции по решению распространенных проблем малого и среднего бизнеса.

Windows Internals, Part 2: Covering Windows Server 2008 R2 and Windows 7 автор: Марк Руссинович – В этой книге дается подробный обзор внутренней работы операционных систем Windows, включая протоколы и службы SMB. Он предназначен для продвинутых пользователей и ИТ-специалистов.

Windows Server 2016: Inside Out Орин Томас – Эта книга представляет собой полное руководство по Windows Server 2016, включая сети SMB и безопасность. В нем рассматриваются такие темы, как файловые службы, DFS и сетевая печать.

Windows Server 2019 Inside Out Орин Томас – Эта книга представляет собой полное руководство по Windows Server 2019, включая сети SMB и безопасность. В нем рассматриваются такие темы, как файловые службы, DFS и сетевая печать.

Mastering Windows Server 2016 автор Джордан Краузе – В этой книге представлено подробное руководство по Windows Server 2016, включая SMB-сети и безопасность. В нем рассматриваются такие темы, как Active Directory, DNS и DHCP, а также файловые службы и службы печати.

The Accidental Administrator: Linux Server Step-by-Step Configuration Guide автор: Дон Р. Кроули – Хотя эта книга не посвящена конкретно SMB, она представляет собой всеобъемлющее руководство по администрированию сервера Linux, включая файловые службы и службы печати, которые можно использовать в дополнение к службам SMB.

Список полезной нагрузки для Блок сообщений сервера

  1. Полезная нагрузка вредоносного ПО: Вредоносное ПО может быть доставлено через SMB, включая трояны, программы-вымогатели, вирусы и черви.

  2. Эксплуатируйте полезные нагрузки: Эксплойты могут использоваться для устранения уязвимостей в SMB, таких как уязвимость EternalBlue, которая, как известно, использовалась при атаке программ-вымогателей WannaCry.

  3. Полезная нагрузка при краже учетных данных: SMB может использоваться для кражи учетных данных, включая имена пользователей и пароли, путем перехвата трафика аутентификации.

  4. Полезные нагрузки, связанные с отказом в обслуживании: SMB может использоваться для запуска атаки типа "отказ в обслуживании" путем переполнения сети трафиком или отправки искаженных пакетов, которые приводят к сбою целевой системы.

  5. Полезные нагрузки на основе файлов: SMB может использоваться для передачи файлов между системами, включая вредоносные файлы, такие как скрипты, исполняемые файлы и файлы конфигурации.

Смягчение последствий

  1. Регулярно обновляйте операционную систему и любое программное обеспечение, использующее SMB. Часто выпускаются исправления для устранения уязвимостей в системе безопасности, и важно быть в курсе этих обновлений.

  2. Более старые версии SMB, такие как SMBv1, имеют известные уязвимости и должны быть отключены. Рассмотрите возможность использования SMBv2.1 или более поздней версии для улучшения функций безопасности.

  3. Внедрите политику надежных паролей для предотвращения несанкционированного доступа к системам и данным. Обязательно используйте сложные пароли, которые трудно угадать.

  4. Внедрите контроль доступа и ограничьте доступ к критически важным системам и данным только авторизованным пользователям. Это может помочь предотвратить несанкционированный доступ и уменьшить потенциальное воздействие нарушения безопасности.

  5. Используйте брандмауэры для ограничения доступа к портам SMB из ненадежных сетей. Кроме того, рассмотрите возможность использования сегментации сети для изоляции критически важных систем и данных от остальной части сети.

  6. Рассмотрите возможность использования шифрования для трафика SMB для защиты от подслушивания и других атак перехвата.

  7. Используйте системы обнаружения и предотвращения вторжений, чтобы отслеживать сетевой трафик на предмет подозрительной активности и предотвращать атаки до того, как они смогут нанести ущерб.

Заключение

Протокол блока сообщений сервера (SMB) является важным сетевым протоколом, используемым для общего доступа к файлам и другим сетевым службам в операционных системах Windows. Каждая версия Windows имеет соответствующую версию сервера SMB, причем последние версии используют SMB 3.0 или выше.

Другие Услуги

Готовы к безопасности?

Связаться с нами