Salut prieteni, azi vom rezolva problema cu vulnerabilitatea “Redirect to SMB” care a fost descoperita acum cateva zile si care afecteaza toate versiunile de Windows, inclusiv Windows 10.
Vulnerabilitatea se bazeaza pe naivitatea aplicatiilor din Windows, care vor sa se logheze imediat ce simt un server SMB. In acel moment datele de logare sunt scuipate afara, unde atacatorul le intercepteaza pentru o decriptare ulterioara.
Atentie !
Redirect to SMB este o vulnerabilitate care afecteaza foarte multe aplicatii si chiar programe antivirus.
Cateva exemple:
Adobe Reader, Apple QuickTime and Apple Software Update, Internet Explorer, Windows Media Player, Excel 2010, Symantec’s Norton Security Scan, AVG Free, BitDefender Free, Comodo Antivirus, Box Sync, TeamViewer, etc.
Probabil cei de la Microsoft vor repara aceasta vulnerabilitate (Redirect to SMB) in scurt timp, din pacate doar cei cu Windows legal vor primi aceste patch-uri.
Cei cu Windows piratat vor fi nevoiti sa faca manual cateva setari in firewall, ca sa opreasca traficul SMB spre exterior.
Porturile SMB sunt TCP 139 si TCP 445.
Mai multe detalii legate Redirect to SMB gasiti pe blogul cylance.com
View Comments (37)
pentru cei cu wind. piratate la multi nu o sa mearga aceaste setari, fiindca firewalul e oprit din "fabrica" si cind dai sa-l pornesti iti da eroarea 0x80070422
vorbesti prostii. majoritatea Windows-urilor piratate nu sunt modificate.
nu are foarte multa lume Windows-uri modificate, nu sunt populare deloc pe site-urile de torrente, toti cauta pe cel original, nemodificat. Doar faptul ca e activat il face diferit fata de cel original, de la Microsoft.
am gasit si rezolvarea deja, era oprit din "services" tre de pus pe automat
Multumim „ de învat ”
Multumim mult Cristi, sa traiesti :)
eu cred ca problema inca nu este rezolvata cu firewall.. deorece portul de la samba (smb) la fel ca cele de la servere apache, ftp, ssh pot fi schimbate. e doar o solutie temporara.. trebuie gasita o alta solutie pentru acest bag de securitate
Urmăresc de mulți ani video tutorialele făcute de voi și cu acestă ocazie țin să vă mulțumesc.Eu am firewalul de la avast iar cel din windows l-am dezactivat.Am verificat în setările de la firewalul de la avast și am observat că vine deja setat cu blocarea acestor porturi TCP 139 și TCP 445.Deci se pare că cei de la avast cunosc acestă vulnerabilitate mai demult.
Da, probabil au făcut patch-ul printr-un update. Despre vulnerabilitatea asta s-a aflat abia acum cateva zile.
salut Cristi
banuiala mea este ca doar in Windows 8 8.1 nu stiu Windows 10 ar fi posibila o vulnerabilitate asa cum ne-ai aratat in acest tutorial pentru ca in Windows 7 eu am gasit setarile pentru remote si de fiecare data le dezactivez si opresc remote si din servicii (pc manage)
ori in Windows 8 nu am gasit aceste setari(ori poate nu am dat de ele inca nu stiu o sa mai caut nu ma las)
iarasi stim cu totii ca Windows 8 vine cu interfata Metro si acolo intradevar o fi posibila o vulnerabilitate banuiesc ,pentru ca toate aplicatiile din Metro odata cu pornirea PC-ului se logheaza automat
a era sa uit , eu am intampinat o cuidatenie asa cand am deschis un document Word online si imi cerea username se password dar eu facusem setarile ce le am enumerat mai sus in Windows7
banuiesc ca daca nu le faceam se loga automat?
multumesc
am uitat sa mentionez ca nu am instalat niciodata Windows 7 sau Windows 8 piratat
niciodata nu am oprit firewall si tot timpul am avut update-urile la zi si antivirus
Multumim frumos Cristi,sa fii iubit.
Excelent!
Am un ZyXEL NSA320S cu serverul SMB activat, exista vreun pericol?
Zyxel NSA320s rulează o versiune de Linux si nu este afectat.
Eu am un nas și după ce am blocat porturile nu am mai putut sa mă conectez la nas.
Schimba porturile default in nas.
porturile astea sunt cu probleme de multi ani. e descoperita de mult treaba . cu exploituri pe 445 se intra imediat . cu inregistrare activitate cu tot . se rezolva cu Windows Worms Doors Cleaner . ( avea meniu dedicat ... bine ca se putea si din firewall).
problema s-a mai calmat de cand au bagat upc/rtc - modem si de cand majoritatea au routere .
putine cazuri cand mai e cablu de net direct in pc. acum se trece prin modemuri / routere . care routereaza ip-ul public si nu sunt in bridge. sa nu mai zicem de cat de frecvent se schimba ip-urile publice alocate de isp.
deci : problema s-a cam rezolvat de la sine.
o problema mai de actualitate ar fi ont-urile montate de rds .
eu nu am inca . am inteles ca utilizatorul nu are access cu drepturi depline in meniul lor.
ar fi 2 conturi : de user - limitat in setari , si de admin - la care rds nu da parola abonatului . trebuie furata din configul ont-ului . mie chiar imi pare rau ca inca nu mi-au montat si mie ont sa ma bat cu el . :)
cine are sa faca un tutorial .
Da, conform userului stefan, subiectul ONT e de actualitate! RCS-RDS a inceput instalarea de asemenea echipamente! Eu deja detin un ONT insa nu stiu cum poate fi accesat! Poate ar fi necesar un tutorial cu ONT, fibra optica, samd!