Was haltet ihr davon das diese Lücke schon so lange bekannt ist. Man sollte den Port 445 abschalten. https://www.heise.de/security/meldung/Microsoft-warnt-vor-SMB-Luecke-in-Windows-Server-2008-und-Vista-755241.html Edit: Dies bezieht sich nicht auf den "WannaCry"-Bug.
:
Bearbeitet durch Moderator
John Doe schrieb: > Was haltet ihr davon das diese Lücke schon so lange bekannt ist. Mal abgesehen vom interessanten Datum: WannaCry nutzt nicht die erste Lücke in SMB und garantiert auch nicht die letzte.
John Doe schrieb: > Man sollte den Port 445 abschalten. Gibt es überhaupt einen vernünftigen Grund den nach außen offen zu haben?
Bla schrieb: > Gibt es überhaupt einen vernünftigen Grund den nach außen offen zu > haben? Zum Internet hin nicht, aber im LAN schon. WannaCry läuft daher zweistufig: Einer fängt ihn sich ganz klassisch per Mail ein und der verteilt sich dann als Wurm im LAN.
A. K. schrieb: > Zum Internet hin nicht, aber im LAN schon. WannaCry läuft daher > zweistufig: Einer fängt ihn sich ganz klassisch per Mail ein und der > verteilt sich dann als Wurm im LAN. Was ich nicht verstehe ist , warum in Sicherheitsrelevanten Bereichen wie Firmen, Krankenhäuser etc. Rechner Zugang zum Internet haben. Ein Intranet wäre doch viel sicherer und vom Internet her nicht angreifbar. Es scheint mir so , dass hier die Bequemlichkeit Oberhand hat. WannaCry wird sicher nicht der letzte Versuch sein. Ist doch ein Witz , dass in Krankenhäuser Operationen Ausfallen müssen weil die EDV von außen her lahm gelegt wurde.
herbert schrieb: > Was ich nicht verstehe ist , warum in Sicherheitsrelevanten Bereichen > wie Firmen, Krankenhäuser etc. Rechner Zugang zum Internet haben. Auch in Krankenhäusern wird E-Mail genutzt. Ärzte benutzen auch mal das Internet für Recherche. Klar, man müsste konsequente Segmentierung fahren, konsequent schmutzige und saubere Systeme trennen. Nur stünden dann vielfach 2 Rechner pro Arbeitsplatz und dafür ist kein Geld und kein Platz. Un et hätt noch emmer joot jejange. Sicherheit kostet eine stattliche Menge Geld, Investition und Personal bzw. in Form teurer Support-Verträge. Dafür ist oft erst dann Geld da, wenn der Nutzen direkt ersichtlich ist. Sprich, wenn es mal laut genug gedonnert hat - oder vielleicht erst wenn der Blitz direkt einschlug. Davor ist es unproduktiv versenktes Geld, mit der bloss die lukrative Paranoia von Dienstleistern finanziert wird. Mal etwas pointiert formuliert. Einige Krankenhäuser werden nun wieder mal etwas teurer. Das hart getroffene britische Gesundheitssystem hat sowieso schon zu wenig Geld. Nun gibts halt die Wahl, entweder das Geld dafür auszugeben, Menschen zu helfen. Oder für mehr Sicherheit, mit der man niemandes Gesundheit fördert. Und alle am Tropf hängenden Krankenhäuser wollen das auch noch gleichzeitig aus staatlichem Topf - ein Alptraum für öffentliche Finanzkalkulation.
:
Bearbeitet durch User
Zum Thema SMB: Unser Admin sagt: "Ins Internet gibt man SMB nicht frei! Das machen nur Baueradmins. Selbst IM eigenen Netzwerk sollte man das nicht machen, wenn mehere User unterwegs sind." Abgesehen davon ist SMB nicht verschlüsselt. Die Anmeldeinfos sind klar lesbar wenn ein Datenstrom im Netzwerk abgefangen wird. Daür gibt es WebDAV über SSL. Moderner geht aber auch anders.
Alex W. schrieb: > Unser Admin sagt: "Ins Internet gibt man SMB nicht frei! Das machen nur > Baueradmins. Korrekt. Macht aber auch kaum jemand und ist nicht der Ausbreitungsweg von WannaCry in dein Netz. > Selbst IM eigenen Netzwerk sollte man das nicht machen, > wenn mehere User unterwegs sind." Öhm... Wenn du in einem Windows-Netz SMB generell abschaltest, dann kannst du ebenso gut auch gleich den Netzwerkstecker ziehen und Daten per USB-Stick transportieren. > Die Anmeldeinfos sind klar > lesbar wenn ein Datenstrom im Netzwerk abgefangen wird. Die Anmeldeinformation in SMB wurde schon vor zig Jahren verschlüsselt übertragen (NTLM). Auch bei SMBv1. Allerdings sind alte Versionen der Authentifizierung unsicher. Verwechselt hier jemand SMB mit FTP?
:
Bearbeitet durch User
Man darf aber mit einigem Recht fragen, welcher Teufel die Bank of China geritten hat, ausgerechnet bei ihren Geldautomaten unbedingt SMB zu öffnen. Das ist genau die Sorte embedded PC, bei der man das wirklich nicht machen sollte: http://www.zerohedge.com/news/2017-05-13/bank-china-atms-go-dark-ransomware-attack-slams-china
:
Bearbeitet durch User
herbert schrieb: > Was ich nicht verstehe ist , warum in Sicherheitsrelevanten Bereichen > wie Firmen, Krankenhäuser etc. Rechner Zugang zum Internet haben. Ein > Intranet wäre doch viel sicherer und vom Internet her nicht angreifbar. > Es scheint mir so , dass hier die Bequemlichkeit Oberhand hat. WannaCry > wird sicher nicht der letzte Versuch sein. Ist doch ein Witz , dass in > Krankenhäuser Operationen Ausfallen müssen weil die EDV von außen her > lahm gelegt wurde. Weil... ...viele Medizingeräte eine Fernwartungsschnittstelle für den Servicetechniker benötigen und diesen, bei Störungen, selbstständig bestellen können sollen ...heute nunmal über Internet mit den Zulieferern (externe Apotheken, Labore) kommuniziert wird. ...die Lagerhaltung nicht mehr mit Karteikarten organisiert wird. Nachschub wird teilweise automatisch bestellt. Per Internet... ...unterschiedliche Krankenhäuser und niedergelassene Ärzte miteinander kommunizieren können müssen ("das CT, das sie vor 2 Jahren aufgenommen haben, bitte") ...es im Notfall schnell gehen muss. Sicherheit kostet nunmal nicht nur Geld, sondern auch Zeit. ...mittlerweile in fast allem ein Computer steckt. Sogar im Heizkessel und im Telefon ...ein Verzicht auf Computer und deren Vernetzung den Personalaufwand in die Höhe treiben würde und weil viele Hersteller von Geräten mit einem Embedded-PC nichts von bezahlbarer Produktpflege halten. Ich wundere mich nicht mehr, wenn ich (heute noch) von Windows NT 3.1 oder DOS begrüßt werde. Bei Linux sieht es nicht viel besser aus. Updates? Fehlanzeige!
Schreiber schrieb: > ..viele Medizingeräte eine Fernwartungsschnittstelle für den > Servicetechniker benötigen und diesen, bei Störungen, selbstständig > bestellen können sollen Die Sachen welche ich auf den diversen Intensivstationen gesehen habe liefen alle autark. Schreiber schrieb: > ...heute nunmal über Internet mit den Zulieferern (externe Apotheken, > Labore) kommuniziert wird. > > ...die Lagerhaltung nicht mehr mit Karteikarten organisiert wird. > Nachschub wird teilweise automatisch bestellt. Per Internet... > > ...unterschiedliche Krankenhäuser und niedergelassene Ärzte miteinander > kommunizieren können müssen ("das CT, das sie vor 2 Jahren aufgenommen > haben, bitte") Da muß man halt zweigleisig fahren und für einfachere Dinge Rechner mit Internet bereitstellen. Schreiber schrieb: > ...ein Verzicht auf Computer und deren Vernetzung den Personalaufwand in > die Höhe treiben würde Davon ist ja nicht die Rede. Aber für das Lebenserhaltungssytem einer Klinik sollte es nur ein Intranet geben. Klopapier kann man ja dann wieder im Internet bestellen wenn das Problem mit einer Erpressung behoben ist.
Schreiber schrieb: > (heute noch) von Windows NT 3.1 oder DOS begrüßt werde. Also grad DOS würde ich mittlerweile als ziemlich sicher betrachten. Kein Schwein schreibt noch Trojaner für DOS, sofern da überhaupt Netzwerk dranhängt.
"Windows XP und Windows 2000 und Server 2003 unterstützen SMB2 nicht und sind daher auch nicht verwundbar." Da bin ich ja richtig froh,dass mein Standrechner noch mit xp läuft. Mein Notebook hat allerdings W10. Nervig sind da die ständigen Updates welche über den Router ewig und drei Tage brauchen. Unentschlossen bin ich noch wegen dem neuen Updatepaket für W10. Damit wird ja schon fast ein W11 draus...
herbert schrieb: > "Windows XP und Windows 2000 und Server 2003 unterstützen SMB2 nicht und > sind daher auch nicht verwundbar." > > Da bin ich ja richtig froh,dass mein Standrechner noch mit xp läuft. Dir ist aber schon klar, dass sich dieser Satz auf den Bug von 2009 bezieht, nicht auf den aktuellen Bug vom WannaCry? Für XP gibts trotz Supportende einen Patch und dein Windows 10 ist nicht betroffen.
:
Bearbeitet durch User
A. K. schrieb: > Dir ist aber schon klar, dass sich dieser Satz auf den Bug von 2009 > bezieht, nicht auf den aktuellen Bug vom WannaCry? Nein, war mir jetzt nicht klar, aber Danke für den Hinweis. Den Patch habe ich gerade installiert.:-)
@Mods: Würde empfehlen, den Startbeitrag zu kommentieren, damit nicht noch jemand drauf reinfällt und denkt, das bezöge sich auf den WannaCry Bug.
herbert schrieb: > Schreiber schrieb: >> ..viele Medizingeräte eine Fernwartungsschnittstelle für den >> Servicetechniker benötigen und diesen, bei Störungen, selbstständig >> bestellen können sollen > > Die Sachen welche ich auf den diversen Intensivstationen gesehen habe > liefen alle autark. Bei größeren Geräten wie MRTs gilt das nicht. Kleinere Geräte sind meist "nur" mit dem überwachungs-PC und der Schwesternrufanlage (auch die läuft heute häufig über Netzwerk) vernetzt. Teilweise zusätzlich noch mit Patientenakten-Server und NTP-Server. Zumindest dann, wenn sie nicht nur auf der Intensivstation betrieben werden. Früher hat man eine Krankenschwester danebengesetzt. herbert schrieb: > Schreiber schrieb: >> ...ein Verzicht auf Computer und deren Vernetzung den Personalaufwand in >> die Höhe treiben würde > > Davon ist ja nicht die Rede. Aber für das Lebenserhaltungssytem einer > Klinik sollte es nur ein Intranet geben. Klopapier kann man ja dann > wieder im Internet bestellen wenn das Problem mit einer Erpressung > behoben ist. Nicht nur Klopapier. Wenn der große Tank mit Flüssigsauerstoff leer wird, bestellt dieser zeitig und selbstständig den Tankwagen mit Nachschub. Das hilft unnötige Anfahrten zu vermeiden und spart somit Geld. In einer Klinik kann man auch die Medikamentenlogistik und die Stromversorgung vom OP als Lebenserhaltung betrachten. Hängt beides am Netzwerk, ersteres über die Apothekensoftware, letzteres über die Notstromversorgung. Wenn das Baby bei einer Infektion kein Antibiotika sondern 500mg Paracetamol aus der Apotheke bekommt, ist es tot. Dummerweise braucht die Apothekensoftware Internet, damit sie Medikamente beim Großhändler bestellen kann. Bei einem OP kann man mit der Fernwartung von USV und Notstromgenerator auch viele Probleme generieren. Wenn es jemand wirklich darauf anlegen würde, könnte er vermutlich die Stromversorgung unterbrechen. Notstromgenerator und USV können, bei Problemen oder Wartungsbedarf, den Hausmeister herbeirufen, das geht nicht ohne Netzwerkanschluss! Früher gab es meist nur Störmeldekontakt und Blinklicht an der Pforte, maximal ein Telefonwählgerät. Ach so, und der Notstromgenerator wird, zwecks Energiekostensenkung gleichzeitig noch als BHKW genutzt und in die Heizungsanlage eingebunden. herbert schrieb: > Da muß man halt zweigleisig fahren und für einfachere Dinge Rechner mit > Internet bereitstellen. Und wie kommen die Röntgen-Bilder jetzt vom Röntgengerät zur Patientenakte? Und von dort weiter zu einem anderen Krankenhaus und dort nochmals zur Patientenakte? Per CD? USB-Stick? Ausdrucken und einscannen? Email? Wenn es nicht ewig dauern soll, definitiv mit letzterem!
John Doe schrieb: > Was haltet ihr davon das diese Lücke schon so lange bekannt ist. > Man sollte den Port 445 abschalten. > > https://www.heise.de/security/meldung/Microsoft-warnt-vor-SMB-Luecke-in-Windows-Server-2008-und-Vista-755241.html SMB an sich ist die Lücke. Daß Windows sonst nichts kann, ist traurig und disqualifiziert für sich allein Windows schon für sicherheits- kritische Anwendungen. Daß so viele Leute ihre Systeme nicht automatisch haben updaten lassen, ist am Ende auch die Schuld von Microsoft. Zum einen kriegen sie es seit Jahrzehnten(!) nicht hin, Updates ohne permanente Reboots (und damit einhergehende Downtime, oft nicht mal manuell planbar) hin zu bekommen. Zum anderen nutzen sie immer wieder den Update-Kanal dazu, ihre eigene Werbung - oder wie sonst soll man Programme, die das Upgrade auf eine neue Windows-Version zu erzwingen suchen, sonst nennen - auf die Kunden-Systeme zu kippen. Als Admin hat man dann die Wahl zwischen Pest und Cholera. Entweder automatisch updaten und sich tonnenweise ScheiXXe von Microsoft einhandeln. Oder Updates erst nach manueller Sichtung punktuell ausrollen, mit der Gefahr, einen wichtigen Fix zu versäumen. Für mich persönlich ist deswegen die Grundregel: auf mission-critical Systemen gibt es etweder kein Windows (bevorzugt) oder zumindest kein Internet. Punkt.
A. K. schrieb: > Für XP gibts trotz Supportende einen Patch und dein Windows 10 ist nicht > betroffen. Bei WE PosReady XP muss man sich mittlerweile auf die automatische Updatefunktion verlassen oder die Patches mit einem anderen Rechner aus der Knowledge Base holen. Die Update-Server bei M$ verweigern den Kontakt zum IE8, und neuere laufen unter XP nicht. Manuell "nach Updates suchen" funktioniert damit nicht mehr.
soul e. schrieb: > Die Update-Server bei M$ verweigern den > Kontakt zum IE8, und neuere laufen unter XP nicht. Manuell "nach Updates > suchen" funktioniert damit nicht mehr. Auf der Start seite vom "Funkamateur" gibt es zwei Links zu MS für noch XP User. Da habe ich auch meinen Patch her. Da gibt es auch Updates für andere BS.
ich hatte gestern auch gesucht: - bei Heise.de keine direkten links, nur immer zum MS-Security Bulletin MS17-010 und da wird XP nicht erwähnt - über Google/Chip.de: nur Werbung, dann zur MS Download Seite. Nur Werbung für Surface Pro, Musik und Spiele. Irgendwo dann Links die falsch sind, für deutsches XP bekommt man eine XP embedded Version die natürlich nicht läuft. - Suche bei MS nach 'wannacry' führt zu nix, ausser zu Werbung für Musik. Erst im Heise.de Artikel unter User Kommentaren habe ich einen passenden Link gefunden. Kann also gar nicht so wichtig sein den Patch zu installieren :( Das verstehe ich nicht so recht, das ist doch eine tickende Bombe. Auch wenn WannaCry jetzt halbwegs gestoppt ist, es ist doch nur eine Frage der Zeit bis der nächste diese Lücke ausnutzt. Hier ist noch der MS-Update Katalog Link: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Axel S. schrieb: > SMB an sich ist die Lücke. Daß Windows sonst nichts kann, ist traurig Meist du zufällig NFS? Das geht in Windows auch. Verglichen damit war SMB aber zumindest früher sicher wie ein Banktresor. > Daß so viele Leute ihre Systeme nicht automatisch haben updaten lassen, > ist am Ende auch die Schuld von Microsoft. Zum einen kriegen sie es seit > Jahrzehnten(!) nicht hin, Updates ohne permanente Reboots (und damit > einhergehende Downtime, oft nicht mal manuell planbar) hin zu bekommen. Ohne automatische Updates ist aber auch nicht unbedingt besser: Da sind dann 100 Updates eingespielt, wartend auf den Reboot. Der ist normalerweise eine Sache von 5-10 Minuten. Im Reboot merkt er dann nach diesen 10 Minuten, dass er sich verfranzt hat und nimmt alle 99 schon erledigten Updates wieder zurück, mit diversen Reboots und einer Dauer insgesamt 1 Stunde offline. Sagt hinterher aber nicht, mit welchem Update er ein Problem hatte. Was ein Spass!
Hier ist die Seite zu Wannacrypt bei Microsoft - die Update Links sind unten in blau: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
:
Bearbeitet durch User
Axel S. schrieb: > Für mich persönlich ist deswegen die Grundregel: auf mission-critical > Systemen gibt es etweder kein Windows (bevorzugt) oder zumindest kein > Internet. Punkt. ...wenn es immer so einfach währe!
Axel S. schrieb: > Daß so viele Leute ihre Systeme nicht automatisch haben updaten lassen, > ist am Ende auch die Schuld von Microsoft Und es gibt reichlich XP embedded und POS Anwendungen die gar keinen Draht zum Internet haben. Und genau die werden jetzt im Netzwerk 'von innen' aufgefressen, da gibt es gar keinen Anwender der etwas aktualisieren könnte.
Johannes S. schrieb: > Und es gibt reichlich XP embedded und POS Anwendungen die gar keinen > Draht zum Internet haben. Und genau die werden jetzt im Netzwerk 'von > innen' aufgefressen, da gibt es gar keinen Anwender der etwas > aktualisieren könnte. Nur sollten jene, die diese Systeme eingerichtet haben, sich ernsthaft fragen, ob die Systeme unbedingt SMB benötigen.
:
Bearbeitet durch User
herbert schrieb: > soul e. schrieb: >> Die Update-Server bei M$ verweigern den >> Kontakt zum IE8, und neuere laufen unter XP nicht. Manuell "nach Updates >> suchen" funktioniert damit nicht mehr. > > Auf der Start seite vom "Funkamateur" gibt es zwei Links zu MS für noch > XP User. Richtig, Links. Das sind die Dinger, die man mit Firefox anklickt, und das funktioniert natürlich auch weiterhin problemlos. Was nicht mehr funktioniert ist "Start" - "Programme" - "Windows Update". Das läuft über den IE8, und der wird nicht mehr unterstützt.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.