Auch wenn Sie noch nichts vom SMB-Protokoll gehört haben, nutzen es Millionen von Menschen jeden Tag. Es hat jedoch eine Schwachstelle, die in einem massiven Cyberangriff aufgedeckt wurde, von dem Hunderttausende betroffen waren. Was noch schlimmer ist: Es einfach nicht mehr zu verwenden, ist keine gültige Lösung. Glücklicherweise gibt es eine Möglichkeit, dieses Protokoll sicher zu nutzen. Aber zuerst – was ist SMB?
Der Server Message Block (SMB) ist ein Netzwerkprotokoll, das es Benutzern ermöglicht, mit entfernten Computern und Servern zu kommunizieren – um deren Ressourcen zu nutzen oder Dateien freizugeben, zu öffnen und zu bearbeiten. Es wird auch als Server/Client-Protokoll bezeichnet, da der Server über eine Ressource verfügt, die er für den Client freigeben kann.
Wie jedes Netzwerk-Filesharing-Protokoll benötigt SMB Netzwerk-Ports, um mit anderen Systemen zu kommunizieren. Ursprünglich verwendete es Port 139, der es Computern erlaubte, im selben Netzwerk zu kommunizieren. Aber seit Windows 2000 verwendet SMB Port 445 und das TCP-Netzwerkprotokoll, um mit anderen Computern über das Internet zu „sprechen“.
Wie wird das SMB-Protokoll verwendet?
Das SMB-Protokoll stellt eine Verbindung zwischen dem Server und dem Client her, indem es mehrere Anfrage-Antwort-Nachrichten hin und her sendet.
Stellen Sie sich vor, Ihr Team arbeitet an einem großen Projekt, bei dem viel hin und her gesendet wird. Sie möchten vielleicht in der Lage sein, Dateien freizugeben und zu bearbeiten, die an einem Ort gespeichert sind. Das SMB-Protokoll ermöglicht es Ihren Teammitgliedern, diese freigegebenen Dateien so zu verwenden, als befänden sie sich auf ihren eigenen Festplatten. Selbst wenn einer von ihnen auf einer Geschäftsreise ist, die eine halbe Welt entfernt ist, können sie immer noch auf die Daten zugreifen und sie verwenden.
Angenommen, der Drucker in Ihrem Büro ist mit dem PC der Empfangsmitarbeiter verbunden. Wenn Sie ein Dokument ausdrucken möchten, sendet Ihr Computer (der Client) an den Computer der Empfangsdamen (den Server) eine Druckanforderung und verwendet dazu das SMB-Protokoll. Der Server sendet dann eine Antwort zurück, die besagt, dass die Datei in der Warteschlange steht, gedruckt wird oder dass dem Drucker das Magenta ausgegangen ist und er die Aufgabe nicht ausführen kann.
Was ist SMB-Authentifizierung?
Wie jede andere Verbindung benötigt auch das SMB-Protokoll Sicherheitsmaßnahmen, um die Kommunikation sicher zu machen. Auf der Benutzerebene erfordert die SMB-Authentifizierung einen Benutzernamen und ein Kennwort, um den Zugriff auf den Server zu ermöglichen. Sie wird vom Systemadministrator kontrolliert, der Benutzer hinzufügen oder sperren und überwachen kann, wer Zugang hat.
Auf Freigabeebene müssen Benutzer ein Einmalpasswort eingeben, um auf die freigegebene Datei oder den Server zuzugreifen, aber es ist keine Identitätsauthentifizierung erforderlich.
Unterschiedliche Varianten des SMB-Protokolls
Im Jahr 1996 versuchte Microsoft, SMB in CIFS (Common Internet File System) umzubenennen. Es war eine aktualisierte Version des gleichen Protokolls und hatte mehr Funktionen, aber der Name blieb nicht haften. Aus diesem Grund denken viele immer noch, dass es dasselbe ist. CIFS ist jetzt nur einer von vielen Dialekten (Varianten) von SMB.
Hier sind alle Varianten des SMB-Protokolls:
- SMBv1 wurde 1984 von IBM für die Dateifreigabe unter DOS veröffentlicht. Microsoft modifizierte und aktualisierte es 1990.
- CIFS wurde 1996 mit mehr Funktionen und Unterstützung für größere Dateigrößen veröffentlicht. Es kam zusammen mit dem neuen Windows 95.
- SMBv2 debütierte in Windows Vista im Jahr 2006. Es zeichnete sich durch eine bemerkenswerte Leistungssteigerung aufgrund erhöhter Effizienz aus – weniger Befehle und Unterbefehle bedeuteten bessere Geschwindigkeiten.
- SMBv2.1 kam mit Windows 7 und brachte eine verbesserte Leistung.
- SMBv3 wurde mit Windows 8 mit vielen Updates eingeführt. Die bemerkenswerteste davon ist die verbesserte Sicherheit – das Protokoll begann, Ende-zu-Ende-Verschlüsselung zu unterstützen.
- SMBv3.02 kam zusammen mit Windows 8.1. Es bot die Möglichkeit, die Sicherheit und Leistung zu erhöhen, indem SMBv1 komplett deaktiviert wurde.
- SMBv3.1.1 wurde 2015 mit Windows 10 veröffentlicht. Es fügte dem Protokoll mehr Sicherheitselemente hinzu, wie AES-128-Verschlüsselung, Schutz vor Man-in-the-Middle-Angriffen und Sitzungsverifizierung.
Es ist wichtig zu wissen, welche Version des SMB-Protokolls Ihr Gerät verwendet, besonders wenn Sie ein Unternehmen besitzen und viele Windows-Rechner miteinander verbunden haben. Es wäre schwer, in einem modernen Büro einen PC zu finden, der mit Windows 95 oder XP läuft (und SMBv1 verwendet), aber vielleicht laufen sie noch auf alten Servern. Warum ist das wichtig?
Der WannaCry-Ransomware-Angriff
Im Jahr 2017 fand die US National Security Agency (NSA) eine Schwachstelle im SMBv1-Protokoll. Sie ermöglichte es einem Angreifer, seinen Code auszuführen, ohne dass der Benutzer etwas davon bemerkte. Wenn ein Gerät infiziert wurde, konnte der Hacker Zugriff auf das gesamte Netzwerk und jedes damit verbundene Gerät erhalten.
Dieser Exploit wurde EternalBlue genannt. Eine Hacker-Gruppe namens „Shadow Brokers“ hat ihn angeblich von der NSA gestohlen und 2017 online geleakt. Microsoft veröffentlichte ein Update, um die Schwachstelle zu patchen, aber nur einen Monat später brach die Ransomware WannaCry aus. Dieser massive Angriff betraf fast 200.000 Windows-Geräte in 150 Ländern. Sie verschlüsselte alle Daten auf dem Computer des Opfers und forderte ein Lösegeld in Bitcoin. WannaCry kostete den britischen National Health Service rund 120 Millionen Dollar an Lösegeld, ganz zu schweigen von dem Chaos, das tausende verschlüsselte und unbrauchbare Computer verursachten.
Sollte ich das SMB-Protokoll deaktivieren?
Leider gibt es immer noch mehr als eine Million Windows-Rechner, auf denen die ungepatchte Version des SMBv1-Protokolls läuft. Die meisten von ihnen sind wahrscheinlich mit einem Netzwerk verbunden, was andere Geräte im selben Netzwerk angreifbar macht, unabhängig davon, welche SMB-Version sie verwenden.
Wenn Sie einen Windows-Computer oder -Server betreiben, der noch SMBv1 verwendet, sollten Sie sofort das Update installieren oder, noch besser, auf eine neuere Version des Protokolls umsteigen. Ist SMB sicher und völlig gefahrlos zu verwenden? Im Moment scheint es so zu sein. Aber jeden Tag können neue Sicherheitslücken auftauchen. Benutzer, die das Risiko verringern möchten, können einen Schritt weiter gehen und ihre SMB-Verbindungen verschlüsseln.
Wenn Sie jedoch keine Anwendungen verwenden, die SMB benötigen, ist es am besten, es ganz zu deaktivieren und Ihr Gerät vor möglichen Angriffen zu schützen. SMB ist in Windows 10 ab Oktober 2017 standardmäßig nicht mehr aktiviert, sodass Sie nur dann etwas unternehmen müssen, wenn Sie eine ältere Windows-Version verwenden.
Die zusätzlichen Schritte sind zeitaufwendig und die ständigen Updates können nervig sein, aber Sie sollten sie immer installieren, sobald sie verfügbar sind. Gehen Sie nie davon aus, dass Sie von den Sicherheitslücken nicht betroffen sind. Jeder kann zur Zielscheibe werden, daher ist es am besten, Ihre Geräte und Daten zu schützen, bevor etwas passiert.
Für weitere Einblicke in Cybersec und Datenschutz, abonnieren Sie unseren monatlichen Blog-Newsletter unten!