Wanna Cry , Petya und andere Probleme mit Ransom-Ware

  • Hallo zusammen,


    auch wenn ich Gefahr laufe Entrüstung zu entfachen, möchte ich doch auf ein Thema aufmerksam machen, welches in der heutigen Zeit nicht weit genug verbreitet werden kann.


    Diesmal war es nach WannaCry wahrscheinlich eine Art von Petya oder ähnlichem.
    Der Artikel SMB1 Product Clearinghouse verweist auf verschiedene Systeme die unter anderem SMB1 unterstützen.
    Darin ist auch von QNAP-Systemen die Sprache.
    Es sollten alle überprüfen, ob sie die höchste SMB-Version gewählt haben.


    Unbenannt.JPG


    Wir schalten derzeit, obwohl wir nicht unmittelbar betroffen waren, alles was in irgendeiner weise mit SMB1 zu tun hat, komplett ab.
    Es hat diesmal auch große Unternehmen, mit technisch hoch versierten IT-Abteilungen, getroffen.


    Über Sinn oder Unsinn in heimischen Netzwerken oder ähnlichen Argumenten mag man sich ja streiten oder anderer Meinung sein.
    Aber jedes Gerät, ob PC, TV, Internetradio, Kühlschrank oder Smart-Home-Lichtschalter vergrößert nur das Netzwerk.
    Und die Gefahren potenzieren sich somit.
    Deshalb sollte jeder mal selber bei sich schauen, ob er grundlegende Dinge wie regelmäßige Updates oder halt auch die oben genannte Warnung für sich umgesetzt hat.


    Und der beste Schutz ist halt eben gerade der aufmerksamer User.


    Skynet gibt es so noch nicht. Noch ist der Mensch welcher... ;)

  • Zu ergänzen ist hier vielleicht, dass gerade ältere Modelle, auch wenn sie auf eine aktuellere Firmware upgegradet wurden, noch mit SMB1 arbeiten können, denn bei einem Upgrade wird die SMB-Version nicht automatisch angehoben. Für diejenigen, für die Sicherheit nicht so ein Thema ist, gibt es vielleicht dennoch einen Anreiz die SMB-Version anzuheben, denn je nach Gerät und Konstellation kann die höhere SMB-Version einiges mehr an Durchsatz bescheren.


    Nicht bei allen Geräten kann die SMB-Version per Browser umgestellt werden. Details siehe hier:
    [entry]228[/entry]

  • Hallo,


    eine Frage zu der sicher sehr sinnvollen Anregung, das QNAP auf mind SMB2.1 zu schalten:
    Wenn ich das richtig verstehe stellt die o.g. Auswahl lediglich die höchste verwendete SMB Version ein.
    Das hieße dann aber m.E., daß SMB1 weiterhin aktiv ist und von einem Angreifer erzwungen und attakiert werden kann.
    Sehe ich das richtig?
    Was können wir dagegen tun? Gibt es Möglichkeiten SMB1 vollständig zu deaktivieren?

    Einmal editiert, zuletzt von HolDer ()

  • Dann müssten bei aktiviertem SMB3.0 auch alte Windows Versionen damit funktionieren, was jedoch nicht zu sein scheint. Habe es jedoch selbst nie ausprobiert.

  • Was können wir dagegen tun? Gibt es Möglichkeiten SMB1 vollständig zu deaktivieren?

    Nicht über Webeinstellungen, nur durch Editieren der smb.conf. Darin muss der Parameter "min protocol" auf NT1 gesetzt werden. Ausserdem sollte im GUI die Option NTLMv2-only eingeschaltet werden (nur verschlüsselte Anmeldung zugelassen). Allerdings muss auf dem NAS mindestens Samba 3.6 laufen, denn erst damit kam SMB2-Unterstützung. Bei meinem alten TS-109pro2 ist leider nur Samba 3.5.x drauf.


    Ihr könnt per Windows-Powershell prüfen, welche SMB-Version Windows für den Zugriff aufs NAS verwendet.
    Get-SmbConnection
    (Details siehe https://technet.microsoft.com/…/jj635713(v=wps.630).aspx )

  • Dann müssten bei aktiviertem SMB3.0 auch alte Windows Versionen damit funktionieren, was jedoch nicht zu sein scheint. Habe es jedoch selbst nie ausprobiert.

    Also bei mir kann ich mit Win7 (kann nur SMB2.1) aus QNAP zugreifen, wenn ich "höchste SMB Version" auf SMB3.0 stelle. Geht also grundsätzlich.


    Auf SMB1 sollte man heute verzichten können, es sei denn man hat noch XP oder Server2003 oder alte Netzwerkgerät die noch kein SMB2 können.


    @warpcam:
    Danke, werde ich ausprobieren.

  • Interessant. Dann stellt sich mir die Frage, wieso QNAP bei Win7 empfiehlt SMB2.1 zu verwenden, wenn die Einstellung SMB3.0 genauso funktioniert. In diesem Fall müsste doch die Empfehlung lauten - bzw. eigentlich schon standardmässig eingestellt sein - die höchst mögliche SMB-Version zu verwenden, da ja abwärtskompatibel. ?(

  • ich habe 2 x19PII mit smb3 im netz und kann mit xp ohne einschränkung mit dem explorer darauf zugreifen
    ich kann auch die laufwerke des pc auf der nas einbinden.


    mfg tabaluga

  • Na dann hoffe ich mal, dass diese XP-Rechner keine Internetstationen sind. Sind nicht mehr wirklich sicher.
    Aber ich muss zugeben, habe selbst noch ein XP aktiv im Einsatz - allerdings ohne Internet und Netzwerkverbindung.