Af Torben B. Sørensen, 18/01/17
US-CERT (United States Computer Emergency Readiness Team) råder alle til at blokere for SMB-trafik i firewalls. Advarslen kommer efter, at et muligt adgangsprogram mod SMB er dukket op.
SMB (Server Message Block) er en udbredt protokol til fil- og printerdeling i Windows-miljøer. En hackergruppe ved navn Shadow Brokers har sat en række hacking-værktøjer, der skulle stamme fra NSA (National Security Agency), til salg på nettet.
Blandt værktøjerne skal der være et program, der udnytter en hidtil ukendt sårbarhed i SMB.
For at beskytte mod angreb på den sårbarhed samt andre kendte sikkerhedshuller anbefaler US-CERT, at man begrænser brugen af SMB-protokollen.
Anbefaling
US-CERT har to anbefalinger til systemadministratorer: Slå SMB version 1 fra. Og bloker for alle versioner af SMB i firewallen, så trafikken kun kan ses inde på lokalnettet.
Links
- SMB Security Best Practices, US-CERT
- Kill it with fire: US-CERT urges admins to firewall off Windows SMB, artikel fra The Register