Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Wanna Cry
3 views
Skip to first unread message
Harald Hengel
May 14, 2017, 4:08:58 PM5/14/17
to
Es gibt auch Patches für ältere Windows Versionen, u.A. auch für
Windows XP
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Grüße Harald
Windows XP
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Grüße Harald
Michael Unger
May 14, 2017, 5:47:57 PM5/14/17
to
On 2017-05-14 22:08, "Harald Hengel" wrote:
[fup2: de.comp.security.misc]
> Es gibt auch Patches für ältere Windows Versionen, u.A. auch für
> Windows XP
>
> http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
| Wenn Sie über diese Site Updates suchen und herunterladen,
| müssen Sie Ihre Sicherheitseinstellungen so ändern, dass
| ActiveX-Steuerelemente und Active Scripting aktiviert sind.
| Oder richten Sie diese Site als vertrauenswürdige Site ein.
| [...]
Ächt jätzt?? Du hättest besser gleich dorthin [1] verlinken sollen.
Michael
[1]
<https://download.microsoft.com/download/B/7/8/B78348C3-DE52-46AC-9077-C6BADBCFF20D/WindowsXP-KB4012598-x86-Embedded-Custom-DEU.exe>
--
Real names enhance the probability of getting real answers.
My e-mail account at DECUS Munich is no longer valid.
[fup2: de.comp.security.misc]
> Es gibt auch Patches für ältere Windows Versionen, u.A. auch für
> Windows XP
>
> http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
| müssen Sie Ihre Sicherheitseinstellungen so ändern, dass
| ActiveX-Steuerelemente und Active Scripting aktiviert sind.
| Oder richten Sie diese Site als vertrauenswürdige Site ein.
| [...]
Ächt jätzt?? Du hättest besser gleich dorthin [1] verlinken sollen.
Michael
[1]
<https://download.microsoft.com/download/B/7/8/B78348C3-DE52-46AC-9077-C6BADBCFF20D/WindowsXP-KB4012598-x86-Embedded-Custom-DEU.exe>
--
Real names enhance the probability of getting real answers.
My e-mail account at DECUS Munich is no longer valid.
Stephan Gerlach
May 15, 2017, 7:35:39 PM5/15/17
to
Harald Hengel schrieb:
Welche Sicherheitslücke genau wird eigentlich bei dieser Schadsoftware
ausgenutzt?
Laut Medien-Berichten kommt die Software per Email(?) rein, und sie
"funktioniert" nur auf Windows-Rechnern.
Wie funktioniert das "Verschlüsseln" der Daten? Werden tatsächlich
irgendwelche Bits in diesen Dateien geändert? D.h. so, daß diese Dateien
auch von einer anderen ("sauberen") Partition aus mit einem ganz anderen
Betriebssystem nicht lesbar sind.
Einfaches Beispiel:
Eine *.txt-Datei mit dem Inhalt "Hallo" wird unter Windows durch die
Software zwangs-verschlüsselt. Kann man die *.txt-Datei dann z.B. unter
"echtem" DOS noch mit dem Programm edit öffnen und sieht den Text
"Hallo", oder nicht?
--
> Eigentlich sollte Brain 1.0 laufen.
gut, dann werde ich mir das morgen mal besorgen...
(...Dialog aus m.p.d.g.w.a.)
> Es gibt auch Patches für ältere Windows Versionen, u.A. auch für Windows XP
>
> http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Frage:
>
> http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Welche Sicherheitslücke genau wird eigentlich bei dieser Schadsoftware
ausgenutzt?
Laut Medien-Berichten kommt die Software per Email(?) rein, und sie
"funktioniert" nur auf Windows-Rechnern.
Wie funktioniert das "Verschlüsseln" der Daten? Werden tatsächlich
irgendwelche Bits in diesen Dateien geändert? D.h. so, daß diese Dateien
auch von einer anderen ("sauberen") Partition aus mit einem ganz anderen
Betriebssystem nicht lesbar sind.
Einfaches Beispiel:
Eine *.txt-Datei mit dem Inhalt "Hallo" wird unter Windows durch die
Software zwangs-verschlüsselt. Kann man die *.txt-Datei dann z.B. unter
"echtem" DOS noch mit dem Programm edit öffnen und sieht den Text
"Hallo", oder nicht?
--
> Eigentlich sollte Brain 1.0 laufen.
gut, dann werde ich mir das morgen mal besorgen...
(...Dialog aus m.p.d.g.w.a.)
Chr. Maercker
May 16, 2017, 4:07:28 AM5/16/17
to
Stephan Gerlach wrote:
> Welche Sicherheitslücke genau wird eigentlich bei dieser Schadsoftware
> ausgenutzt?
Bisher konnte ich nur soviel herausfinden, dass es eine Sicherheitslücke
> Welche Sicherheitslücke genau wird eigentlich bei dieser Schadsoftware
> ausgenutzt?
im SMB ist. Eine dazu passende MS-KB wurde bereits im Usenet verlinkt:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
"Security Update for Microsoft Windows SMB Server (4013389)"
Keine Infos fand ich z.B. dazu, ob auch die administrativen Freigaben
(C$ usw.) betroffen sind oder nur konfigurierte Freigaben.
> Laut Medien-Berichten kommt die Software per Email(?) rein, und sie
> "funktioniert" nur auf Windows-Rechnern.
schon zigmal mit Ransomware "beglückt" wurden. Neu ist der
"Wurmfortsatz", also selbständige Weiterverbreitung via
Windows-Schwachstelle. Neu aber auch nur zusammen mit Ransomware. Mich
wunderte sowieso, dass nach Conficker, Sircam & Co. kaum noch neue
Würmer von sich reden machten oder aber tatsächlich kaum neue in Umlauf
kammen.
> Wie funktioniert das "Verschlüsseln" der Daten? Werden tatsächlich
> irgendwelche Bits in diesen Dateien geändert? D.h. so, daß diese Dateien
> auch von einer anderen ("sauberen") Partition aus mit einem ganz anderen
> Betriebssystem nicht lesbar sind.
Brute Force Decryption ist meist nicht mit vertretbarem Zeitaufwand möglich.
> Einfaches Beispiel:
> Eine *.txt-Datei mit dem Inhalt "Hallo" wird unter Windows durch die
> Software zwangs-verschlüsselt. Kann man die *.txt-Datei dann z.B. unter
> "echtem" DOS noch mit dem Programm edit öffnen und sieht den Text
> "Hallo", oder nicht?
Art. Der einzige Klartext, den Du noch findest, sind je eine html- und
.txt-Dateien pro Verzeichnis, in denen Dir der Zahlungsweg u.a.m.
erklärt wird. Auszug aus einer Datei, wie sie z.B. Cerber hinterlässt:
" Cannot you find the files you need?
Is the content of the files that you looked for not readable?
It is normal because the files' names, as well as the data in your files
have been encrypted.
Great!!!
You have turned to be a part of a big community #CerberRansomware.
...
Remember that the worst situation already happened and now it depends on
your determination and speed of your actions the further life of
your files."
--
CU Chr. Maercker.
Chr. Maercker
May 16, 2017, 5:59:32 AM5/16/17
to
Stephan Gerlach wrote:
> Welche Sicherheitslücke genau wird eigentlich bei dieser Schadsoftware
> ausgenutzt?
Wurde eben auf diese Seite aufmerksam gemacht:
> Welche Sicherheitslücke genau wird eigentlich bei dieser Schadsoftware
> ausgenutzt?
https://security.radware.com/ddos-threats-attacks/ddos-attack-types/wannacry-ransomware/
--
CU Chr. Maercker.
Christian Steins
May 16, 2017, 7:18:23 AM5/16/17
to
Am 16.05.2017 um 11:59 schrieb Chr. Maercker:
>> Welche Sicherheitslücke genau wird eigentlich bei dieser Schadsoftware
>> ausgenutzt?
>
> Wurde eben auf diese Seite aufmerksam gemacht:
> https://security.radware.com/ddos-threats-attacks/ddos-attack-types/wannacry-ransomware/
Danke, wie heißt die deutsche Übersetzung für den Punkt
>> Welche Sicherheitslücke genau wird eigentlich bei dieser Schadsoftware
>> ausgenutzt?
>
> Wurde eben auf diese Seite aufmerksam gemacht:
> https://security.radware.com/ddos-threats-attacks/ddos-attack-types/wannacry-ransomware/
"1.0 SMB/CIFS" im Windows-Features Dialog?
Kann ich bei mir nicht finden (win7/64).
Christian
Chr. Maercker
May 16, 2017, 11:11:24 AM5/16/17
to
Christian Steins wrote:
> Danke, wie heißt die deutsche Übersetzung für den Punkt
> "1.0 SMB/CIFS" im Windows-Features Dialog?
>
> Kann ich bei mir nicht finden (win7/64).
Du meinst diese Zeile, oder?
> Danke, wie heißt die deutsche Übersetzung für den Punkt
> "1.0 SMB/CIFS" im Windows-Features Dialog?
>
> Kann ich bei mir nicht finden (win7/64).
"Open Windows features and uncheck SMB 1.0/CIFS File Sharing Support
(see Figure 4)."
Das ist für die Opensource-Version. Für die liefert M$ keine Hotfixes. ;-)
--
CU Chr. Maercker.
Stefan Kanthak
May 16, 2017, 11:29:15 AM5/16/17
to
"Stephan Gerlach" <mam9...@studserv.uni-leipzig.de> schrieb:
> Harald Hengel schrieb:
>> Es gibt auch Patches für ältere Windows Versionen, u.A. auch für Windows XP
>>
>> http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
>
> Frage:
>
> Welche Sicherheitslücke genau wird eigentlich bei dieser Schadsoftware
> ausgenutzt?
Initial (d.h. der Trojaner): PEBKAC
Sekundaer (d.h. der Wurm): Eternal Blue alias MS17-010 alias KB4012598
> Laut Medien-Berichten kommt die Software per Email(?) rein,
UND per SMB; wenn sie per Email reinkommt, dann verbreitet sie sich
drinnen per SMB.
> und sie "funktioniert" nur auf Windows-Rechnern.
Angriffe auf PEBKAC "funktionieren" unabhaengig vom Betruebssystem.
CTB-Locker und einige andere Trojaner funktionieren auf Betruebssystemen
ungleich Windows; wegen deren marginaler Verbreitung lohnen sich Angriffe
auf diese fuer Schaedlingsverbrecher aber nicht (oder weniger).
JFTR: ein (per automatischer Updates) aktuell gehaltener Windows-Rechner
ist vom Wurm NICHT angreifbar.
Auf einem von einem RICHTIGEN Administrator eingerichteten Windows-
Rechner kann PEBKAC den Trojaner nicht ausfuehren.
Dieser Angriff war seit zwei Monaten VORHERSEHBAR!
Jeder IT-Verantwortliche/Administrator haette alle ueber's Netzwerk
erreichbaren Windows-Rechner UMGEHEND aktualisieren muessen, bzw. die
nicht-aktualisierbaren Windows-Rechner vom Netzwerk trennen oder zumindest
deren Server-Dienst deaktivieren muessen!
> Wie funktioniert das "Verschlüsseln" der Daten? Werden tatsächlich
> irgendwelche Bits in diesen Dateien geändert? D.h. so, daß diese Dateien
> auch von einer anderen ("sauberen") Partition aus mit einem ganz anderen
> Betriebssystem nicht lesbar sind.
JA!
Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
> Harald Hengel schrieb:
>> Es gibt auch Patches für ältere Windows Versionen, u.A. auch für Windows XP
>>
>> http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
>
> Frage:
>
> Welche Sicherheitslücke genau wird eigentlich bei dieser Schadsoftware
> ausgenutzt?
Sekundaer (d.h. der Wurm): Eternal Blue alias MS17-010 alias KB4012598
> Laut Medien-Berichten kommt die Software per Email(?) rein,
drinnen per SMB.
> und sie "funktioniert" nur auf Windows-Rechnern.
CTB-Locker und einige andere Trojaner funktionieren auf Betruebssystemen
ungleich Windows; wegen deren marginaler Verbreitung lohnen sich Angriffe
auf diese fuer Schaedlingsverbrecher aber nicht (oder weniger).
JFTR: ein (per automatischer Updates) aktuell gehaltener Windows-Rechner
ist vom Wurm NICHT angreifbar.
Auf einem von einem RICHTIGEN Administrator eingerichteten Windows-
Rechner kann PEBKAC den Trojaner nicht ausfuehren.
Dieser Angriff war seit zwei Monaten VORHERSEHBAR!
Jeder IT-Verantwortliche/Administrator haette alle ueber's Netzwerk
erreichbaren Windows-Rechner UMGEHEND aktualisieren muessen, bzw. die
nicht-aktualisierbaren Windows-Rechner vom Netzwerk trennen oder zumindest
deren Server-Dienst deaktivieren muessen!
> Wie funktioniert das "Verschlüsseln" der Daten? Werden tatsächlich
> irgendwelche Bits in diesen Dateien geändert? D.h. so, daß diese Dateien
> auch von einer anderen ("sauberen") Partition aus mit einem ganz anderen
> Betriebssystem nicht lesbar sind.
Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Christian Steins
May 16, 2017, 11:38:22 AM5/16/17
to
Am 16.05.2017 um 17:11 schrieb Chr. Maercker:
>> Danke, wie heißt die deutsche Übersetzung für den Punkt
>> "1.0 SMB/CIFS" im Windows-Features Dialog?
>> Danke, wie heißt die deutsche Übersetzung für den Punkt
>> "1.0 SMB/CIFS" im Windows-Features Dialog?
> Du meinst diese Zeile, oder?
> "Open Windows features and uncheck SMB 1.0/CIFS File Sharing Support
Ja.
> "Open Windows features and uncheck SMB 1.0/CIFS File Sharing Support
> Das ist für die Opensource-Version.
Christian
Michael Unger
May 16, 2017, 1:26:38 PM5/16/17
to
On 2017-05-16 17:12, "Stefan Kanthak" wrote:
> [...]
Das hätte schon ausgereicht? Wieso lässt man eigentlich auf einem Client
einen SMB-Server-Dienst laufen??
> [...]
Anscheinend sind physikalisch getrennte Netzwerke vielen inzwischen zu
teuer.
Michael
> [...]
>
> Dieser Angriff war seit zwei Monaten VORHERSEHBAR!
> Jeder IT-Verantwortliche/Administrator haette alle ueber's Netzwerk
> erreichbaren Windows-Rechner UMGEHEND aktualisieren muessen, bzw. die
> nicht-aktualisierbaren Windows-Rechner vom Netzwerk trennen oder zumindest
> deren Server-Dienst deaktivieren muessen!
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> Dieser Angriff war seit zwei Monaten VORHERSEHBAR!
> Jeder IT-Verantwortliche/Administrator haette alle ueber's Netzwerk
> erreichbaren Windows-Rechner UMGEHEND aktualisieren muessen, bzw. die
> nicht-aktualisierbaren Windows-Rechner vom Netzwerk trennen oder zumindest
> deren Server-Dienst deaktivieren muessen!
Das hätte schon ausgereicht? Wieso lässt man eigentlich auf einem Client
einen SMB-Server-Dienst laufen??
> [...]
Anscheinend sind physikalisch getrennte Netzwerke vielen inzwischen zu
teuer.
Michael
Stefan Kanthak
May 16, 2017, 1:45:43 PM5/16/17
to
"Michael Unger" <spam.t...@spamgourmet.com> schrieb:
> On 2017-05-16 17:12, "Stefan Kanthak" wrote:
>
>> [...]
>>
>> Dieser Angriff war seit zwei Monaten VORHERSEHBAR!
>> Jeder IT-Verantwortliche/Administrator haette alle ueber's Netzwerk
>> erreichbaren Windows-Rechner UMGEHEND aktualisieren muessen, bzw. die
>> nicht-aktualisierbaren Windows-Rechner vom Netzwerk trennen oder zumindest
>> deren Server-Dienst deaktivieren muessen!
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>
> Das hätte schon ausgereicht?
Ja.
Ebenfalls ausreichend ist, diesen Dienst NICHT von aussen erreichbar
zu machen, sprich die ab Werk von der Windows-Firewall geschlossenen
Ports nicht zu oeffnen.
> Wieso lässt man eigentlich auf einem Client einen SMB-Server-Dienst
> laufen??
1. "das hamwer schon immer so gemacht"
2. die Windows-Firewall erlaubt ab Werk keinen Zugriff darauf; ein
Administrator muss den Zugriff erst freischalten.
JFTR: dummerweise animieren Windows Vista und Nachfolger ihren
"Administrator" zu letzterem, sobald der sich beispielsweise
die Netzwerkuebersicht anzeigen lassen will...
>> [...]
>
> Anscheinend sind physikalisch getrennte Netzwerke vielen inzwischen zu
> teuer.
Oder Administratoren, die dieser Bezeichnung wuerdig sind, zu selten.
> On 2017-05-16 17:12, "Stefan Kanthak" wrote:
>
>> [...]
>>
>> Dieser Angriff war seit zwei Monaten VORHERSEHBAR!
>> Jeder IT-Verantwortliche/Administrator haette alle ueber's Netzwerk
>> erreichbaren Windows-Rechner UMGEHEND aktualisieren muessen, bzw. die
>> nicht-aktualisierbaren Windows-Rechner vom Netzwerk trennen oder zumindest
>> deren Server-Dienst deaktivieren muessen!
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>
> Das hätte schon ausgereicht?
Ebenfalls ausreichend ist, diesen Dienst NICHT von aussen erreichbar
zu machen, sprich die ab Werk von der Windows-Firewall geschlossenen
Ports nicht zu oeffnen.
> Wieso lässt man eigentlich auf einem Client einen SMB-Server-Dienst
> laufen??
2. die Windows-Firewall erlaubt ab Werk keinen Zugriff darauf; ein
Administrator muss den Zugriff erst freischalten.
JFTR: dummerweise animieren Windows Vista und Nachfolger ihren
"Administrator" zu letzterem, sobald der sich beispielsweise
die Netzwerkuebersicht anzeigen lassen will...
>> [...]
>
> Anscheinend sind physikalisch getrennte Netzwerke vielen inzwischen zu
> teuer.
Georg Schwarz
May 16, 2017, 3:53:50 PM5/16/17
to
Michael Unger <spam.t...@spamgourmet.com> wrote:
> Anscheinend sind physikalisch getrennte Netzwerke vielen inzwischen zu
> teuer.
hier hätten sogar logisch getrennte Netze ausgereicht.
> Anscheinend sind physikalisch getrennte Netzwerke vielen inzwischen zu
> teuer.
Stefan Kanthak
May 16, 2017, 4:28:44 PM5/16/17
to
"Michael Unger" <spam.t...@spamgourmet.com> schrieb:
> On 2017-05-16 17:12, "Stefan Kanthak" wrote:
>
>> [...]
>>
>> Dieser Angriff war seit zwei Monaten VORHERSEHBAR!
>> Jeder IT-Verantwortliche/Administrator haette alle ueber's Netzwerk
>> erreichbaren Windows-Rechner UMGEHEND aktualisieren muessen, bzw. die
>> nicht-aktualisierbaren Windows-Rechner vom Netzwerk trennen oder zumindest
>> deren Server-Dienst deaktivieren muessen!
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>
> Das hätte schon ausgereicht?
Zusaetzlich zu meiner Antwort <news:offds7$is5$1...@news.mixmin.net>:
1. Eternal Blue braucht DirectSMB auf Port 445, er nutzt NICHT das
klassische "NetBIOS over TCP/IP" auf den Ports 137, 138 und 139;
2. ausserdem funktioniert es nur mit SMBv1, nicht mit SMBv2 oder SMBv3
alleine.
Damit sind Windows 2000 bis 2003 nach Deaktivieren von DirectSMB per
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"SMBDeviceEnabled"=dword:0
(siehe <https://support.microsoft.com/en-us/kb/940684>) auch ohne den
Patch nicht mehr angreifbar, ebenso Windows Vista sowie neuere nach
Deaktivieren von SMBv1 per
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters]
"SMB1"=dword:0
Falls der Angriff auch ohne DirectSMB oder nur mit SMBv1 realisierbar
sein sollte und ein neuer Exploit entwickelt wuerde, waere das nicht
mehr ausreichend.
Nach derzeitigem Stand ist aber beides NICHT der Fall!
> On 2017-05-16 17:12, "Stefan Kanthak" wrote:
>
>> [...]
>>
>> Dieser Angriff war seit zwei Monaten VORHERSEHBAR!
>> Jeder IT-Verantwortliche/Administrator haette alle ueber's Netzwerk
>> erreichbaren Windows-Rechner UMGEHEND aktualisieren muessen, bzw. die
>> nicht-aktualisierbaren Windows-Rechner vom Netzwerk trennen oder zumindest
>> deren Server-Dienst deaktivieren muessen!
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>
> Das hätte schon ausgereicht?
1. Eternal Blue braucht DirectSMB auf Port 445, er nutzt NICHT das
klassische "NetBIOS over TCP/IP" auf den Ports 137, 138 und 139;
2. ausserdem funktioniert es nur mit SMBv1, nicht mit SMBv2 oder SMBv3
alleine.
Damit sind Windows 2000 bis 2003 nach Deaktivieren von DirectSMB per
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"SMBDeviceEnabled"=dword:0
(siehe <https://support.microsoft.com/en-us/kb/940684>) auch ohne den
Patch nicht mehr angreifbar, ebenso Windows Vista sowie neuere nach
Deaktivieren von SMBv1 per
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters]
"SMB1"=dword:0
Falls der Angriff auch ohne DirectSMB oder nur mit SMBv1 realisierbar
sein sollte und ein neuer Exploit entwickelt wuerde, waere das nicht
mehr ausreichend.
Nach derzeitigem Stand ist aber beides NICHT der Fall!
Chr. Maercker
May 17, 2017, 3:10:42 AM5/17/17
to
Christian Steins wrote:
> Hab' ich was verpasst?
Anscheinend. Es gibt seit wenigen Jahren ein freies Windows, natürlich
nicht von M$. Bisher aber keinerlei Einsatzerfahrungen damit.
--
CU Chr. Maercker.
> Hab' ich was verpasst?
Anscheinend. Es gibt seit wenigen Jahren ein freies Windows, natürlich
nicht von M$. Bisher aber keinerlei Einsatzerfahrungen damit.
--
CU Chr. Maercker.
Chr. Maercker
May 17, 2017, 3:21:51 AM5/17/17
to
Michael Unger wrote:
[Server-Dienst deaktivieren genügt gegen WannaCry]
> Das hätte schon ausgereicht?
Ja: unter XP wird lediglich srv.sys vom Hotfix ausgetauscht.
Wieso lässt man eigentlich auf einem Client
> einen SMB-Server-Dienst laufen??
z.B. weil die blöden Dinger sonst nicht in einem AD laufen und nicht mit
selbigem remote verwaltbar sind. Es gibt natürlich diverse andere
Dienste, die in dem Ruf stehen, völlig überflüssige Sicherheitslücken zu
sein ... die Doku dazu ist freilich spärlich genug. Für W2k gab es eine
gute Website dazu,
http://www.different-thinking.de/windows_2000_dienste.php
deren einstiger Inhalt gilt zum großen Teil noch heute. Sie ist halt nur
unvollständig geworden, weil spätere Windosen zig neue Dienste
mitbringen. Für Win7 habe ich nur ansatzweise Vergleichbares gefunden:
http://home.snafu.de/jasiek/VistaDienste.html
> Anscheinend sind physikalisch getrennte Netzwerke vielen inzwischen zu
> teuer.
Isolierte VLANs würden in dem meisten Fällen schon reichen, leider ist
das oft ebenso unpraktisch wie physikalische Trennung. Die Rechner
wurden ja lange genug immer abhängiger vom Netzwerk gemacht.
--
CU Chr. Maercker.
[Server-Dienst deaktivieren genügt gegen WannaCry]
> Das hätte schon ausgereicht?
Ja: unter XP wird lediglich srv.sys vom Hotfix ausgetauscht.
Wieso lässt man eigentlich auf einem Client
> einen SMB-Server-Dienst laufen??
selbigem remote verwaltbar sind. Es gibt natürlich diverse andere
Dienste, die in dem Ruf stehen, völlig überflüssige Sicherheitslücken zu
sein ... die Doku dazu ist freilich spärlich genug. Für W2k gab es eine
gute Website dazu,
http://www.different-thinking.de/windows_2000_dienste.php
deren einstiger Inhalt gilt zum großen Teil noch heute. Sie ist halt nur
unvollständig geworden, weil spätere Windosen zig neue Dienste
mitbringen. Für Win7 habe ich nur ansatzweise Vergleichbares gefunden:
http://home.snafu.de/jasiek/VistaDienste.html
> Anscheinend sind physikalisch getrennte Netzwerke vielen inzwischen zu
> teuer.
das oft ebenso unpraktisch wie physikalische Trennung. Die Rechner
wurden ja lange genug immer abhängiger vom Netzwerk gemacht.
--
CU Chr. Maercker.
Georg Schwarz
May 19, 2017, 1:15:08 PM5/19/17
to
Chr. Maercker <Zwei...@gmx-topmail.de> wrote:
> http://www.different-thinking.de/windows_2000_dienste.php
> http://www.different-thinking.de/windows_2000_dienste.php
Stephan Gerlach
May 19, 2017, 6:14:54 PM5/19/17
to
Chr. Maercker schrieb:
OK, das hat dann (zumindest für den Benutzer) in der End-Konsequenz
quasi denselben Effekt wie ein Löschen der Dateien oder/und Überschreiben.
> Stephan Gerlach wrote:
>
>> Wie funktioniert das "Verschlüsseln" der Daten? Werden tatsächlich
>> irgendwelche Bits in diesen Dateien geändert? D.h. so, daß diese Dateien
>> auch von einer anderen ("sauberen") Partition aus mit einem ganz anderen
>> Betriebssystem nicht lesbar sind.
>
> Die Dateien werden umbenannt und ihr Inhalt völlig unleserlich gemacht.
> Brute Force Decryption ist meist nicht mit vertretbarem Zeitaufwand möglich.
>
>> Einfaches Beispiel:
>> Eine *.txt-Datei mit dem Inhalt "Hallo" wird unter Windows durch die
>> Software zwangs-verschlüsselt. Kann man die *.txt-Datei dann z.B. unter
>> "echtem" DOS noch mit dem Programm edit öffnen und sieht den Text
>> "Hallo", oder nicht?
>
> Nein, in der Datei steht wirklich "q23r9dasvn23FD" oder so was in der
> Art.
[...]
>
>> Wie funktioniert das "Verschlüsseln" der Daten? Werden tatsächlich
>> irgendwelche Bits in diesen Dateien geändert? D.h. so, daß diese Dateien
>> auch von einer anderen ("sauberen") Partition aus mit einem ganz anderen
>> Betriebssystem nicht lesbar sind.
>
> Die Dateien werden umbenannt und ihr Inhalt völlig unleserlich gemacht.
> Brute Force Decryption ist meist nicht mit vertretbarem Zeitaufwand möglich.
>
>> Einfaches Beispiel:
>> Eine *.txt-Datei mit dem Inhalt "Hallo" wird unter Windows durch die
>> Software zwangs-verschlüsselt. Kann man die *.txt-Datei dann z.B. unter
>> "echtem" DOS noch mit dem Programm edit öffnen und sieht den Text
>> "Hallo", oder nicht?
>
> Nein, in der Datei steht wirklich "q23r9dasvn23FD" oder so was in der
> Art.
OK, das hat dann (zumindest für den Benutzer) in der End-Konsequenz
quasi denselben Effekt wie ein Löschen der Dateien oder/und Überschreiben.
Stephan Gerlach
May 19, 2017, 6:24:17 PM5/19/17
to
Michael Unger schrieb:
vorwiegend Firmen-Rechner bzw. deren ganze Netzwerke betroffen waren,
und Privat-Personen mit ihren "Heim-Computern" eher weniger?
Denn welche Privat-Person hat denn schon zu Hause standard-mäßig den
Server-Dienst aktiviert.
JFTR: Kennt jemand den Original-Text einer Email, mit welcher in den
betroffenen Firmen das Dilemma initial ausgelöst wurde?
> On 2017-05-16 17:12, "Stefan Kanthak" wrote:
>
>> [...]
>>
>> Dieser Angriff war seit zwei Monaten VORHERSEHBAR!
>> Jeder IT-Verantwortliche/Administrator haette alle ueber's Netzwerk
>> erreichbaren Windows-Rechner UMGEHEND aktualisieren muessen, bzw. die
>> nicht-aktualisierbaren Windows-Rechner vom Netzwerk trennen oder zumindest
>> deren Server-Dienst deaktivieren muessen!
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>
> Das hätte schon ausgereicht? Wieso lässt man eigentlich auf einem Client
> einen SMB-Server-Dienst laufen??
Könnte das evtl. eine Erklärung dafür sein, daß (laut Medienberichten)
>
>> [...]
>>
>> Dieser Angriff war seit zwei Monaten VORHERSEHBAR!
>> Jeder IT-Verantwortliche/Administrator haette alle ueber's Netzwerk
>> erreichbaren Windows-Rechner UMGEHEND aktualisieren muessen, bzw. die
>> nicht-aktualisierbaren Windows-Rechner vom Netzwerk trennen oder zumindest
>> deren Server-Dienst deaktivieren muessen!
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>
> Das hätte schon ausgereicht? Wieso lässt man eigentlich auf einem Client
> einen SMB-Server-Dienst laufen??
vorwiegend Firmen-Rechner bzw. deren ganze Netzwerke betroffen waren,
und Privat-Personen mit ihren "Heim-Computern" eher weniger?
Denn welche Privat-Person hat denn schon zu Hause standard-mäßig den
Server-Dienst aktiviert.
JFTR: Kennt jemand den Original-Text einer Email, mit welcher in den
betroffenen Firmen das Dilemma initial ausgelöst wurde?
Christian Steins
May 20, 2017, 5:37:27 AM5/20/17
to
Am 20.05.2017 um 00:29 schrieb Stephan Gerlach:
>> Das hätte schon ausgereicht? Wieso lässt man eigentlich auf einem Client
>> einen SMB-Server-Dienst laufen??
> Könnte das evtl. eine Erklärung dafür sein, daß (laut Medienberichten)
> vorwiegend Firmen-Rechner bzw. deren ganze Netzwerke betroffen waren,
> und Privat-Personen mit ihren "Heim-Computern" eher weniger?
>
> Denn welche Privat-Person hat denn schon zu Hause standard-mäßig den
> Server-Dienst aktiviert.
Ja, ist sicherlich ein Grund. Und selbst wenn der Dienst aktiviert ist
>> Das hätte schon ausgereicht? Wieso lässt man eigentlich auf einem Client
>> einen SMB-Server-Dienst laufen??
> Könnte das evtl. eine Erklärung dafür sein, daß (laut Medienberichten)
> vorwiegend Firmen-Rechner bzw. deren ganze Netzwerke betroffen waren,
> und Privat-Personen mit ihren "Heim-Computern" eher weniger?
>
> Denn welche Privat-Person hat denn schon zu Hause standard-mäßig den
> Server-Dienst aktiviert.
wird er in der Regel durch die Router-Firewall geblockt.
Christian
Stefan Kanthak
May 20, 2017, 8:05:00 AM5/20/17
to
"Stephan Gerlach" <mam9...@studserv.uni-leipzig.de> schrieb:
> Michael Unger schrieb:
>> On 2017-05-16 17:12, "Stefan Kanthak" wrote:
>>
>>> [...]
>>>
>>> Dieser Angriff war seit zwei Monaten VORHERSEHBAR!
>>> Jeder IT-Verantwortliche/Administrator haette alle ueber's Netzwerk
>>> erreichbaren Windows-Rechner UMGEHEND aktualisieren muessen, bzw. die
>>> nicht-aktualisierbaren Windows-Rechner vom Netzwerk trennen oder zumindest
>>> deren Server-Dienst deaktivieren muessen!
>> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>>
>> Das hätte schon ausgereicht? Wieso lässt man eigentlich auf einem Client
>> einen SMB-Server-Dienst laufen??
>
> Könnte das evtl. eine Erklärung dafür sein, daß (laut Medienberichten)
> vorwiegend Firmen-Rechner bzw. deren ganze Netzwerke betroffen waren,
> und Privat-Personen mit ihren "Heim-Computern" eher weniger?
NEIN!
Windows- (historisch: NetBIOS- bzw. NetBEUI-) Netzwerkprotokolle sind
"peer to peer"-Protokolle, deren P2P-Funktionen gerade in Heim- oder
Privat-Netzwerken genutzt werden, die typischerweise ohne zentralen
Server alias "Domain Controller" bzw. ActiveDirectory betrieben werden.
In Heim- oder Privatnetzwerken findest Du typischerweise nur eine
KLEINE Anzahl von Geraeten, in Firmennetzwerken dagegen VIELE; zudem
berichten Medien eher selten ueber befallene Heimnetzwerke, weil das
1. kaum interessant ist und es 2. typischerweise nur den Benutzern
dieser Heimnetzwerke auffaellt, die 3. typischerweise nicht die Medien
informieren.
JFTR: in China ist ein Sack Reis umgefallen!
> Denn welche Privat-Person hat denn schon zu Hause standard-mäßig den
> Server-Dienst aktiviert.
ALLE!
Der Server-Dienst ist AB WERK aktiviert und wird IMMER gestartet;
die "versteckten" Freigaben \\<computer>\IPC$, \\<computer>\ADMIN$
etc. sind standardmaessig vorhanden (letztere nur ab Professional).
Nur: vor dem Server-Dienst steht noch die Windows-Firewall, und vor
dieser ggf. noch die Firewall des DSL-Routers!
Die Windows-Firewall gibt die Ports 445 sowie 137 bis 139 aber frei,
wenn der Benutzer^WAdministrator
1. die erste Freigabe einrichtet (was bei der Installation eines
lokalen Druckers passieren kann: die werden standardmaessig
freigegeben);
2. ab Windows Vista die Netzwerkuebersicht oeffnet und dem Hinweis
"hier klicken, wenn Sie alle Geraete sehen wollen" folgt.
JFTR: fuehre auf Windows mal "ftp.exe ftp.adobe.com" aus.
> JFTR: Kennt jemand den Original-Text einer Email, mit welcher in den
> betroffenen Firmen das Dilemma initial ausgelöst wurde?
Bisher hat niemand eine solche Mail entdeckt bzw. niemand darueber
geschrieben.
> Michael Unger schrieb:
>> On 2017-05-16 17:12, "Stefan Kanthak" wrote:
>>
>>> [...]
>>>
>>> Dieser Angriff war seit zwei Monaten VORHERSEHBAR!
>>> Jeder IT-Verantwortliche/Administrator haette alle ueber's Netzwerk
>>> erreichbaren Windows-Rechner UMGEHEND aktualisieren muessen, bzw. die
>>> nicht-aktualisierbaren Windows-Rechner vom Netzwerk trennen oder zumindest
>>> deren Server-Dienst deaktivieren muessen!
>> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>>
>> Das hätte schon ausgereicht? Wieso lässt man eigentlich auf einem Client
>> einen SMB-Server-Dienst laufen??
>
> Könnte das evtl. eine Erklärung dafür sein, daß (laut Medienberichten)
> vorwiegend Firmen-Rechner bzw. deren ganze Netzwerke betroffen waren,
> und Privat-Personen mit ihren "Heim-Computern" eher weniger?
Windows- (historisch: NetBIOS- bzw. NetBEUI-) Netzwerkprotokolle sind
"peer to peer"-Protokolle, deren P2P-Funktionen gerade in Heim- oder
Privat-Netzwerken genutzt werden, die typischerweise ohne zentralen
Server alias "Domain Controller" bzw. ActiveDirectory betrieben werden.
In Heim- oder Privatnetzwerken findest Du typischerweise nur eine
KLEINE Anzahl von Geraeten, in Firmennetzwerken dagegen VIELE; zudem
berichten Medien eher selten ueber befallene Heimnetzwerke, weil das
1. kaum interessant ist und es 2. typischerweise nur den Benutzern
dieser Heimnetzwerke auffaellt, die 3. typischerweise nicht die Medien
informieren.
JFTR: in China ist ein Sack Reis umgefallen!
> Denn welche Privat-Person hat denn schon zu Hause standard-mäßig den
> Server-Dienst aktiviert.
Der Server-Dienst ist AB WERK aktiviert und wird IMMER gestartet;
die "versteckten" Freigaben \\<computer>\IPC$, \\<computer>\ADMIN$
etc. sind standardmaessig vorhanden (letztere nur ab Professional).
Nur: vor dem Server-Dienst steht noch die Windows-Firewall, und vor
dieser ggf. noch die Firewall des DSL-Routers!
Die Windows-Firewall gibt die Ports 445 sowie 137 bis 139 aber frei,
wenn der Benutzer^WAdministrator
1. die erste Freigabe einrichtet (was bei der Installation eines
lokalen Druckers passieren kann: die werden standardmaessig
freigegeben);
2. ab Windows Vista die Netzwerkuebersicht oeffnet und dem Hinweis
"hier klicken, wenn Sie alle Geraete sehen wollen" folgt.
JFTR: fuehre auf Windows mal "ftp.exe ftp.adobe.com" aus.
> JFTR: Kennt jemand den Original-Text einer Email, mit welcher in den
> betroffenen Firmen das Dilemma initial ausgelöst wurde?
geschrieben.
0 new messages