06 Кві, 2023

Блок повідомлень сервера (SMB)

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

SMB розшифровується як Блок повідомлень сервера. Це протокол, який використовується для загального доступу до мережевих файлів і принтерів. SMB був вперше розроблений Microsoft для операційної системи Windows, але з тих пір він був реалізований в інших операційних системах, таких як Unix, Linux і macOS. SMB дозволяє декільком комп'ютерам отримувати доступ до одних і тих же файлів і ресурсів по мережі, а також забезпечує аутентифікацію і шифрування для захисту даних від несанкціонованого доступу. SMB розвивався протягом багатьох років, і останньою версією є SMB3, яка забезпечує більш високу швидкість передачі файлів, поліпшені функції безпеки і поліпшену продуктивність в мережах з високою затримкою.

Загальні порти SMB

Port 445 (TCP і UDP): Цей порт зазвичай використовується SMB через TCP без необхідності NetBIOS.

Port 139 (TCP і UDP): Цей порт використовувався більш ранньою версією SMB (SMB 1.0), яка працювала на NetBIOS через TCP / IP (NBT).

Port 138 (UDP): Цей порт використовувався більш ранньою версією SMB (SMB 1.0) для служб дейтаграм через NetBIOS.

Port 137 (UDP): Цей порт використовувався більш ранньою версією SMB (SMB 1.0) для служб імен NetBIOS через.

Стандартні команди від неавторизованих користувачів

nbtstat: Ця команда використовується для відображення поточних підключень NetBIOS через TCP /IP (NBT) і пов'язаної з ними інформації. Його можна використовувати для збору інформації про сервер SMB і мережі.

net view: Ця команда використовується для відображення списку загальних ресурсів в мережі. Неавторизовані користувачі можуть використовувати цю команду, щоб спробувати ідентифікувати вразливі SMB-сервери.

net use: Ця команда використовується для підключення до спільного ресурсу SMB або зіставлення мережевого диска. Неавторизовані користувачі можуть використовувати цю команду для отримання доступу до конфіденційних даних.

smbclient: Ця команда є утилітою Linux, яка використовується для підключення до серверів SMB / CIFS. Неавторизовані користувачі можуть використовувати цю команду для спроби отримати доступ до SMB-сервера системи Linux.

Інструменти для використання протоколу SMB

Ручні Інструменти:

  • nmap – інструмент дослідження мережі та аудиту безпеки, який можна використовувати для сканування відкритих портів SMB.

  • enum4linux – інструмент для перерахування загальних ресурсів SMB і виявлення вразливостей в реалізаціях SMB.

  • smbclient – інструмент командного рядка, який можна використовувати для підключення до серверів SMB / CIFS і виконання різноманітних операцій, таких як завантаження файлів, вивантаження файлів і виконання команд.

  • smbmap – інструмент, який можна використовувати для перерахування загальних ресурсів SMB і виконання різноманітних операцій, таких як завантаження файлів, вивантаження файлів і виконання команд.

  • Metasploit – платформа тестування на проникнення, яка включає в себе безліч експлойтів SMB і модулів для тестування вразливостей SMB.

  • Responder – інструмент для виконання атак з отруєнням LLMNR і NBT-NS для захоплення облікових даних користувачів, які можуть бути використані для отримання доступу до спільних ресурсів SMB.

  • Wireshark – аналізатор мережевих протоколів, який може бути використаний для збору і аналізу SMB-трафіку.

  • CrackMapExec – інструмент для тестування і використання вразливостей SMB, включаючи атаки з використанням паролів, атаки з використанням хеш і багато іншого.

  • BloodHound – інструмент для візуалізації та аналізу складних середовищ Active Directory, який може бути використаний для виявлення та експлуатації вразливостей SMB.

  • SAMRi10 – інструмент для перерахування баз даних SAM та управління ними у системах Windows 10, який можна використовувати для отримання облікових даних користувача для загальних ресурсів SMB.

Автоматизовані інструменти:

  • OpenVAS – сканер вразливостей з відкритим вихідним кодом, що включає в себе можливості сканування і тестування SMB.

  • Nessus – комерційний сканер вразливостей, який включає в себе можливості сканування і тестування SMB.

  • Qualys – хмарний сканер вразливостей, який включає в себе можливості сканування і тестування SMB.

  • Retina – комерційний сканер вразливостей, який включає в себе можливості сканування і тестування SMB.

  • Rapid7 – набір інструментів для управління уразливими і тестування на проникнення, який включає в себе можливості сканування і тестування SMB.

  • Nikto – сканер вразливостей веб-сервера, який включає в себе можливості сканування і тестування SMB.

  • Acunetix – сканер вразливостей веб-додатків, який включає в себе можливості сканування і тестування SMB.

  • Burp Suite – інструмент тестування безпеки веб-додатків, який включає в себе можливості сканування і тестування SMB.

  • ZAP – інструмент тестування безпеки веб-додатків, який включає в себе можливості сканування і тестування SMB.

  • OWASP Zed Attack Proxy – інструмент тестування безпеки веб-додатків, який включає в себе можливості сканування і тестування SMB.

Плагіни для браузера:

  • Hackbar – надбудова Firefox, яка може використовуватися для тестування та експлуатації вразливостей веб-додатків, включаючи уразливості SMB.

  • EditThisCookie – розширення Chrome, яке можна використовувати для тестування та експлуатації вразливостей веб-додатків, включаючи уразливості SMB.

Останні п'ять відомих CVE для SMB

CVE-2022-46181 – Gotify server - це простий сервер для відправки і отримання повідомлень в режимі реального часу з допомогою WebSocket. Версії, що передують 2.2.2, містять XSS уразливість, яка дозволяє пройшов перевірку автентичності користувачам завантажувати файли html. Зловмисник може виконати сценарії на стороні клієнта **, якщо** інший користувач відкрив посилання. Зловмисник потенційно може заволодіти обліковим записом користувача, який перейшов по посиланню. Користувальницький інтерфейс Gotify спочатку не розкриває таку шкідливу посилання, тому зловмисник повинен змусити користувача відкрити шкідливу посилання в контексті за межами Gotify. Уразливість була виправлена у версії 2.2.2. Як обхідного шляху ви можете заблокувати доступ до файлів, відмінним від зображень, через зворотний проксі-сервер в каталозі `./image`.

CVE-2022-40216 – Auth. (subscriber+) Messaging Block Bypass vulnerability in Better Messages plugin <= 1.9.10.69 on WordPress.

CVE-2022-35251 – A cross-site scripting vulnerability exists in Rocket.chat <v5 due to style injection in the complete chat window, an adversary is able to manipulate not only the style of it, but will also be able to block functionality as well as hijacking the content of targeted users. Hence the payloads are stored in messages, it is a persistent attack vector, which will trigger as soon as the message gets viewed.

CVE-2022-3033 – If a Thunderbird user replied to a crafted HTML email containing a <code>meta</code> tag, with the <code>meta</code> tag having the <code>http-equiv=”refresh”</code> attribute, and the content attribute specifying an URL, then Thunderbird started a network request to that URL, regardless of the configuration to block remote content. In combination with certain other HTML elements and attributes in the email, it was possible to execute JavaScript code included in the message in the context of the message compose document. The JavaScript code was able to perform actions including, but probably not limited to, read and modify the contents of the message compose document, including the quoted original message, which could potentially contain the decrypted plaintext of encrypted data in the crafted email. The contents could then be transmitted to the network, either to the URL specified in the META refresh tag, or to a different URL, as the JavaScript code could modify the URL specified in the document. This bug doesn’t affect users who have changed the default Message Body display setting to ‘simple html’ or ‘plain text’. This vulnerability affects Thunderbird < 102.2.1 and Thunderbird < 91.13.1.

CVE-2022-30273 – Протокол Motorola MDLC до 2022-05-02 неправильно обробляє цілісність повідомлень. Він підтримує три режими безпеки: звичайний, Застаріле шифрування і Нове шифрування. В режимі застарілого шифрування трафік шифрується з допомогою блокового шифрування Tiny Encryption Algorithm (TEA) в режимі ECB. Цей режим роботи не забезпечує цілісність повідомлень і забезпечує знижену конфіденційність вище рівня блоку, як продемонструвала атака ECB Penguin на будь-які блокові шифри.

Корисна інформація

– SMB розшифровується як Server Message Block, який являє собою протокол, використовуваний для загального доступу до файлів і принтерів в операційних системах Windows.

– SMB був спочатку розроблений IBM в 1980-х роках для використання в її продукті LAN Manager.

– SMB розвивався протягом багатьох років: SMBv2 був представлений в Windows Vista, а SMBv3 - Windows 8 і Windows Server 2012.

– SMB працює по протоколу TCP / IP і звичайно використовує порти 139 і 445.

– SMB підтримує як загальні, так і розподілені файлові системи.

– SMB підтримує різні механізми аутентифікації і авторизації, включаючи NTLM і Kerberos.

– SMB може використовуватися для доступу до файлів і принтерів у віддалених системах, а також для спільного використання файлів і принтерів в локальних системах.

– SMB може використовуватися для доступу до метаданих файлової системи і управління ними, такими як дозволи та атрибути.

– SMB можна використовувати для доступу до віддалених записів реєстру і для виконання віддалених команд.

– SMB може використовуватися для виконання віддалених викликів процедур (RPC) для різних завдань управління і адміністрування.

– SMB вразливий для різних загроз безпеки, включаючи атаки типу "людина посередині", атаки з ретрансляцією SMB і атаки з пониженням рівня підписування SMB.

– SMB може бути захищений за допомогою різних заходів, таких як SMB-шифрування, SMB-підпис і контроль доступу.

– SMB використовується різними іншими протоколами і службами, такими як NetBIOS, NBT-NS і LLMNR.

– SMB широко використовується в корпоративних середовищах і є звичайною метою зловмисників, які прагнуть отримати несанкціонований доступ до конфіденційних даних.

– SMB підтримується різними сторонніми інструментами і утилітами, такими як Wireshark, nmap і Metasploit.

Корпорація Майкрософт рекомендує використовувати SMBv3 для підвищення продуктивності, безпеки і надійності.

– SMB піддавався критиці за його складність і відсутність взаємодії з системами, відмінними від Windows.

– SMB постійно розвивається, з новими функціями і поліпшеннями, додаються в кожній новій версії.

– SMB використовується мільйонами користувачів і організацій по всьому світу, що робить його найважливішим компонентом багатьох ІТ-інфраструктур.

– SMB - це важлива технологія для розуміння ІТ-фахівцями, які працюють із системами Windows або займаються мережевою безпекою та адмініструванням.

Відомі банери

Windows 95/98/ME: SMB 1.0 [1]
Windows NT 4.0: SMB 1.0 [2]
Windows 2000: SMB 1.0 [2]
Windows XP: SMB 1.0 3
Windows Server 2003: SMB 1.0 3
Windows Vista: SMB 2.0 [^4]
Windows Server 2008: SMB 2.0 [^4]
Windows 7: SMB 2.1 [^5]
Windows Server 2008 R2: SMB 2.1 [^5]
Windows 8: SMB 3.0 [^ 6]
Windows Server 2012: SMB 3.0 [^6]
Windows 8.1: SMB 3.0 [^ 6]
Windows Server 2012 R2: SMB 3.0 [^6]
Windows 10: SMB 3.0 [^ 6]
Windows Server 2016: SMB 3.0 [^6]
Windows Server 2019: SMB 3.1.1 [^7]

Книги для навчання SMB

Inside SMB Networking автор: Дерріл Гібсон – Ця книга надає всебічний огляд мереж малого і середнього бізнесу і охоплює такі теми, як мережева архітектура, протоколи і безпека. Вона також включає практичні приклади та вправи, які допоможуть читачам застосувати свої знання.

Troubleshooting Windows Server with PowerShell Дерек Шауланд – У цій книзі розглядаються різні методи усунення неполадок Windows Server, включаючи усунення неполадок SMB з допомогою PowerShell. У ньому наведені практичні приклади та покрокові інструкції щодо вирішення поширених проблем малого і середнього бізнесу.

Windows Internals, Part 2: Covering Windows Server 2008 R2 and Windows 7 автор: Марк Руссинович – У цій книзі дається детальний огляд внутрішньої роботи операційних систем Windows, включаючи протоколи і служби SMB. Він призначений для просунутих користувачів та ІТ-фахівців.

Windows Server 2016: Inside Out Орін Томас – Ця книга являє собою повне керівництво по Windows Server 2016, включаючи мережі SMB і безпека. В ньому розглядаються такі теми, як файлові служби, DFS і мережна печатка.

Windows Server 2019 Inside Out Орін Томас – Ця книга являє собою повне керівництво по Windows Server 2019, включаючи мережі SMB і безпека. В ньому розглядаються такі теми, як файлові служби, DFS і мережна печатка.

Mastering Windows Server 2016 автор Джордан Краузе – У цій книзі представлено детальний посібник з Windows Server 2016, включаючи SMB-мережі та безпека. В ньому розглядаються такі теми, як Active Directory, DNS і DHCP, а також файлові служби та служби друку.

The Accidental Administrator: Linux Server Step-by-Step Configuration Guide автор: Дон Р. Кроулі – Хоча ця книга присвячена конкретно SMB, вона являє собою всеосяжне керівництво по адмініструванню сервера Linux, включаючи файлові служби та служби друку, які можна використовувати на додаток до служб SMB.

Список корисного навантаження для Блок повідомлень сервера

  1. Корисне навантаження шкідливого ПО: Шкідливе ПЗ може бути доставлено через SMB, включаючи трояни, програми-викрадачі, віруси та хробаки.

  2. Використовуйте корисні навантаження: Експлойти можуть використовуватися для усунення вразливостей в SMB, таких як вразливість EternalBlue, яка, як відомо, використовувалася при атаці програм-вимагачів WannaCry.

  3. Корисне навантаження при крадіжці облікових даних: SMB може використовуватися для крадіжки облікових даних, включаючи імена користувачів і паролі, шляхом перехоплення трафіку аутентифікації.

  4. Корисні навантаження, пов'язані з відмовою в обслуговуванні: SMB може використовуватися для запуску атаки типу "відмова в обслуговуванні" шляхом переповнення мережі трафіком або відправлення спотворених пакетів, які призводять до збою цільової системи.

  5. Корисні навантаження на основі файлів: SMB може використовуватися для передачі файлів між системами, включаючи шкідливі файли, такі як скрипти, виконувані файли і файли конфігурації.

Пом'якшення наслідків

  1. Регулярно оновлюйте операційну систему і будь-яке програмне забезпечення, що використовує SMB. Часто випускаються виправлення вразливостей в системі безпеки, і важливо бути в курсі цих оновлень.

  2. Більш старі версії SMB, такі як SMBv1, мають відомі уразливості і повинні бути відключені. Розгляньте можливість використання SMBv2.1 або пізнішої версії для поліпшення функцій безпеки.

  3. Вбудуйте політику надійних паролів для запобігання несанкціонованого доступу до систем і даних. Обов'язково використовуйте складні паролі, які важко вгадати.

  4. Вбудуйте контроль доступу і обмежте доступ до критично важливих систем і даних тільки авторизованим користувачам. Це може допомогти запобігти несанкціонований доступ і зменшити потенційний вплив порушення безпеки.

  5. Використовуйте брандмауери для обмеження доступу до портів SMB з ненадійних мереж. Крім того, розгляньте можливість використання сегментації мережі для ізоляції критично важливих систем і даних від іншої частини мережі.

  6. Розгляньте можливість використання шифрування трафіку SMB для захисту від підслуховування і інших атак перехоплення.

  7. Використовуйте системи виявлення та запобігання вторгнень, щоб відслідковувати мережевий трафік на предмет підозрілої активності і запобігати атакам до того, як вони зможуть завдати шкоди.

Висновок

Протокол блоки повідомлень сервера (SMB) є важливим мережевим протоколом, використовуваним для загального доступу до файлів і іншим мережевим службам в операційних системах Windows. Кожна версія Windows має відповідну версію сервера SMB, причому останні версії використовують SMB 3.0 або вище.

Інші Послуги

Готові до безпеки?

зв'язатися з нами