Τα Windows 11 δεν θα προσθέτουν πλέον κανόνες του Windows Defender Firewall για το SMB1 κατά τη δημιουργία νέων κοινόχρηστων SMB αρχείων, ξεκινώντας από τη νέα έκδοση Canary Channel Insider Preview Build 25992.
Δείτε επίσης: Κυκλοφόρησε exploit για Juniper firewall bugs που επιτρέπουν επιθέσεις RCE
Από την εποχή των Windows XP SP2 και μετά, η δημιουργία κοινοχρηστων καταλόγων SMB αυτοματοποιεί τη δημιουργία κανόνων του firewall αρχείων και εκτυπωτών για τα συγκεκριμένα προφίλ του τείχους προστασίας. Από εδώ και στο εξής, τα Windows 11 θα διαμορφώνουν την ενημερωμένη ομάδα “Κοινή χρήση αρχείων και εκτυπωτών (Περιοριστική)”, παραλείποντας τις εισερχόμενες θύρες NetBIOS 137-139.
“Αυτή η αλλαγή ενισχύει έναν υψηλότερο βαθμό προεπιλογής της ασφάλειας του δικτύου, ενώ παράλληλα φέρνει τους κανόνες του τείχους προστασίας SMB πιο κοντά στη συμπεριφορά του ρόλου “Εξυπηρετητή Αρχείων” του Windows Server“, αναφέρουν η Amanda Langowski και ο Brandon LeBlanc της Microsoft.
“Οι διαχειριστές μπορούν ακόμα να ρυθμίσουν την ομάδα “File and Printer Sharing” αν είναι απαραίτητο, καθώς και να τροποποιήσουν αυτήν τη νέα ομάδα του firewall.“
“Σχεδιάζουμε μελλοντικές ενημερώσεις για αυτόν τον κανόνα ώστε να αφαιρέσουμε επίσης τις εισερχόμενες θύρες ICMP, LLMNR και Spooler Service και να περιορίσουμε μόνο στις απαραίτητες θύρες κοινής χρήσης SMB“, δήλωσε ο Κύριος Διαχειριστής Προγράμματος της Microsoft, Ned Pyle, σε ένα ξεχωριστό blog post.
Ο πελάτης SMB τώρα επιτρέπει επίσης συνδέσεις με έναν διακομιστή SMB μέσω TCP, QUIC ή RDMA μέσω προσαρμοσμένων θυρών δικτύου που διαφέρουν από τις προκαθορισμένες προεπιλογές – προηγουμένως, το SMB προσφερόταν μόνο με υποστήριξη για TCP/445, QUIC/443 και RDMA iWARP/5445. Αυτές οι βελτιώσεις αποτελούν μέρος μιας εκτενούς προσπάθειας για ενίσχυση της ασφάλειας των Windows και Windows Server, όπως αναδείχθηκε από άλλες ενημερώσεις που εκδόθηκαν τους τελευταίους μήνες.
Ακολουθώντας την εισαγωγή του Windows 11 Insider Preview Build 25982 στον Canary Channel, οι διαχειριστές μπορούν τώρα να επιβάλλουν την κρυπτογράφηση του πελάτη SMB για όλες τις εξερχόμενες συνδέσεις. Απαιτώντας ότι όλοι οι διακομιστές προορισμού υποστηρίζουν το SMB 3.x και κρυπτογράφηση, οι διαχειριστές των Windows μπορούν να εγγυηθούν ότι όλες οι συνδέσεις είναι ασφαλείς, μειώνοντας έτσι τον κίνδυνο παρακολούθησης και αντικατάστασης.
Δείτε ακόμα: 300.000 Fortinet firewall ευάλωτα σε κρίσιμο σφάλμα FortiOS RCE
Οι διαχειριστές μπορούν επίσης να ρυθμίσουν τα συστήματα των Windows 11 για να αποκλείουν αυτόματα την αποστολή δεδομένων NTLM μέσω SMB σε απομακρυσμένες εξερχόμενες συνδέσεις, προκειμένου να αποτρέπουν επιθέσεις pass-the-hash, NTLM relay ή αποκρυπτογράφησης κωδικών πρόσβασης, ξεκινώντας από την προεπισκόπηση του Windows 11 Insider Build 25951.
Με την προεπισκόπηση του Windows 11 Insider Preview Canary Build 25381, η εταιρεία ξεκίνησε επίσης να απαιτεί την υπογραφή SMB (ασφαλείας) από προεπιλογή για όλες τις συνδέσεις, προκειμένου να προστατευθεί από επιθέσεις NTLM relay.
Τον περασμένο χρόνο, τον Απρίλιο, η Microsoft αποκάλυψε την τελική φάση απενεργοποίησης του πρωτοκόλλου κοινής χρήσης αρχείων SMB1, για τους Windows 11 Home Insiders. Τον Σεπτέμβριο του 2022, η εταιρεία ενίσχυσε την πραστασία από επιθέσεις brute-force εισαγάγοντας έναν περιοριστή ρυθμού ελέγχου εισερχομένων SMB, που σχεδιάστηκε για να μειώσει την επίδραση των ανεπιτυχών προσπαθειών εισερχόμενης πιστοποίησης NTLM.
Μετά την εξάλειψη των κανόνων του τείχους προστασίας της SMB1 στα Windows 11, οι χρήστες που εξακολουθούν να χρησιμοποιούν το πρωτόκολλο SMB1 πρέπει να λάβουν μερικά μέτρα για να διασφαλίσουν την ασφάλεια του δικτύου τους.
Πρώτον, οι χρήστες πρέπει να εξετάσουν την αναβάθμιση του πρωτοκόλλου SMB σε μια νεότερη έκδοση, όπως το SMB2 ή το SMB3. Αυτές οι νεότερες εκδόσεις προσφέρουν βελτιωμένη ασφάλεια και λειτουργικότητα σε σύγκριση με το SMB1.
Δεύτερον, οι χρήστες πρέπει να ελέγξουν τις ρυθμίσεις του τείχους προστασίας τους και να διασφαλίσουν ότι οι απαραίτητες πόρτες για το SMB2 ή το SMB3 είναι ανοιχτές. Αυτό θα επιτρέψει την ασφαλή λειτουργία του νέου πρωτοκόλλου SMB χωρίς την ανάγκη για τους παλαιότερους κανόνες του firrewall που αφαιρέθηκαν.
Δείτε επίσης: Firewall της Zyxel επηρεάζονται από δύο ελαττώματα ασφαλείας
Τέλος, οι χρήστες πρέπει να ενημερώσουν το λογισμικό τους και να εφαρμόσουν τις τελευταίες ενημερώσεις ασφαλείας. Αυτό θα βοηθήσει στην αντιμετώπιση γνωστών προβλημάτων ασφαλείας και θα προσφέρει προστασία από επιθέσεις που απειλούν το πρωτόκολλο SMB1.
Πηγή: bleepingcomputer
