Server Message Block (SMB)
Het Server Message Block (SMB)-protocol is een onderdeel binnen Microsoft Windows dat het mogelijk maakt om bestanden en printers te delen binnen een bedrijfsnetwerk. Binnen Linux-omgevingen is de open source variant van dit protocol onder de naam SAMBA bekend.
Het SMB-protocol is populair en wordt binnen veel bedrijfsnetwerken gebruikt. Het protocol wordt bijvoorbeeld gebruikt voor de centrale opslag van bestanden op een server waarmee verschillende computers verbinden. In Windows-omgevingen waar computers deel uitmaken van een Active Directory, ontkom je niet aan het gebruik van SMB. Op de achtergrond wordt dit protocol namelijk gebruikt om de verschillende policies en scripts binnen te halen tijdens het inloggen.
Welke risico's kleven aan SMB?
Het SMB-protocol is populair en staat op Windows-systemen meestal standaard geïnstalleerd. Wanneer een aanvaller misbruik kan maken van het SMB-protocol, biedt dit de mogelijkheid om op afstand volledige toegang tot een systeem te krijgen. Malware kan zo op meerdere computers in het bedrijfsnetwerk worden geplaatst en uitgevoerd. Dit maakt het protocol een zeer interessant doelwit voor kwaadwillenden.
Het protocol is daarnaast al vrij oud en kent meerdere versies (V1, V2 en V3). Pas in de latere versies van het protocol zijn extra beveiligingsmaatregelen zoals versleuteling toegevoegd waardoor de integriteit en vertrouwelijkheid kan worden gewaarborgd.
In de afgelopen jaren zijn er meerdere kwetsbaarheden ontdekt in verschillende versies van het SMB-protocol. Zo werd in 2017 een ernstige kwetsbaarheid in SMBv1 misbruikt bij bekende ransomware-aanvallen als WannaCry en NotPeyta.
Ook in de meest recente versie van het protocol zijn kwetsbaarheden ontdekt. Zo waarschuwde het Digital Trust Center (DTC) over ernstige kwetsbaarheden in het SMBv3-protocol in 2021.
Veilig gebruik van SMB
Ondanks de risico’s die eraan kleven, is SMB voor veel bedrijven een effectieve oplossing om bestanden te delen. Het protocol is soms zelfs noodzakelijk voor de werking van het bedrijfsnetwerk. Hieronder vind je een aantal maatregelen die worden aangeraden om SMB op een veilige manier te gebruiken. Neem deze maatregelen zelf of bespreek met je IT-dienstverlener of maatregelen zoals deze, al genomen zijn.
-
Maak het SMB-protocol nooit toegankelijk via het internet
De wens kan bestaan om bestanden op afstand toegankelijk te maken, bijvoorbeeld voor medewerkers die thuiswerken. Je zou daarvoor het SMB-protocol beschikbaar kunnen stellen vanaf het internet. Het advies is echter om dit nooit te doen. Mede doordat het internet continu gescand wordt, kan een server die via het internet benaderbaar is via SMB makkelijk en snel worden aangevallen wanneer een kwetsbaarheid wordt ontdekt.
Mocht toegang op afstand noodzakelijk zijn overweeg dan het gebruik van een VPN-verbinding en sta het SMB-protocol alleen toe over deze VPN-verbinding. Een andere oplossing kan zijn om een WebDAV of QUIC oplossing in te richten. Dit zijn gangbare oplossingen om op een veilige manier SMB-functionaliteiten beschikbaar te stellen vanaf het internet.
-
Beperk onnodig netwerktoegang via SMB
Voor werkstations is het binnen een bedrijfsnetwerk vaak niet noodzakelijk om bestanden te delen via het SMB-protocol. Vaak staan de bestanden immers centraal op een file share omgeving zoals een server of NAS. Als werkstations zelf geen bestanden hoeven te delen maar alleen vanaf een centrale file opslag lezen en schrijven, dan doe je er verstandig aan om op de werkstations de firewall zo te configureren dat deze alleen uitgaande verbindingen (naar de centrale fileshare omgeving) kunnen maken. Omdat de werkstations zelf geen bestanden delen, kun je in dat geval alle binnenkomende verbindingen voor het SMB-protocol blokkeren op de firewall van het werkstation. Als de werkstations onderdeel uitmaken van Active Directory, dan kun je deze firewall configuratie bijvoorbeeld via group policies (GPO) centraal uitdelen naar de werkstations. Zo maak je het bedrijfsnetwerk nog veiliger.
-
Houdt systemen up-to-date en voorkom End-of-Life
Het is altijd van belang om computers en servers up-to-date te houden. Zorg dat beschikbare beveiligingsupdates automatisch worden geïnstalleerd om zo te voorkomen dat bekende kwetsbaarheden misbruikt kunnen worden.
Twee maanden voor de WannaCry ransomware-aanval in 2017 waren er beveiligingsupdates beschikbaar gesteld om de kwetsbaarheid, die de aanval via het SMB-protocol mogelijk maakte, te verhelpen. Toch werden veel computers getroffen omdat de beschikbare updates niet geïnstalleerd waren. Beveiligingsupdates worden normaal gesproken alleen uitgebracht voor versies die door de leverancier ondersteund worden. De kans is dus groot dat nieuw gevonden kwetsbaarheden nooit worden opgelost in versies die de End-of-Life (EoL)-status hebben bereikt.
-
Schakel oude versies van het SMB-protocol uit
Het SMB-protocol kent een aantal versies. De meest recente versie van het SMB-protocol is SMBv3. Het advies is om alleen gebruik te maken van de meest recente versie van het protocol. Schakel daarom oude versies van het protocol uit zodat kwetsbaarheden in deze versies niet misbruikt kunnen worden.
Soms worden oude versies van het protocol gebruikt in kantooromgevingen omdat specifieke software hiervan afhankelijk is. Denk bijvoorbeeld aan een scanner die alleen via SMBv1 het gescande document op de server kan plaatsten. Ook in dat geval is het advies te zoeken naar alternatieven. Vervang in dit geval de scanner of kijk naar alternatieve protocollen om bestanden op de server te kunnen plaatsen.
Veilig digitaal ondernemen
Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de Basisscan Cyberweerbaarheid.
Heeft u een DTC-notificatie ontvangen?
Dan is dat hoogstwaarschijnlijk omdat beveiligingsorganisatie Shadowserver Foundation geconstateerd heeft dat uw SMB-oplossing benaderbaar is via het internet. Omdat dit indringers aantrekt, neemt het Digital Trust Center de moeite om u via een notificatie te waarschuwen. Roept dit vragen op? Laat het ons weten via het feedback-formulier.