Ein SMB-Relay-Angriff verschafft Hackern einfachen Zugriff auf Dateien und Systeme – wie schütze ich mich?
-
Thomas Koscheck
- Active Directory Deep Dive
Was ist ein SMB-Relay-Angriff?
SMB ist ein Netzwerkprotokoll, das für den Zugriff auf Dateien, Drucker etc. verwendet wird.
Ein SMB-Relay Angriff nutzt Schwachstellen im SMB-Protokoll, um Authentifizierungsinformationen abzufangen. Diese werden dann genutzt, um unbefugten Zugriff auf andere Netzwerkressourcen zu erlangen.
Werden etwa die Informationen eines Domänenadministrators abgefangen, kann sich der Angreifer auf anderen Systemen mit den Berechtigungen des Domänenadministrators bewegen.
Wie schütze ich mich?
✅ SMBv1 abschalten
Nur alte Versionen des Protokolls (vorrangig SMBv1) sind angreifbar. Diese Version wird fast immer nicht mehr benötigt und kann daher abgeschaltet werden.
Standardmäßig ist SMBv1 erst ab Windows 10/11 und Server 2019 deaktiviert.
✅ SMB härten
Zusätzlich sollte das Protokoll mit SMB-Signing gehärtet werden.
SMB v2 ist ebenfalls nicht empfohlen
Auch wenn SMBv1 deutlich kritischer anzusehen ist, wird empfohlen SMBv3 einzusetzen. SMBv3 unterstützt Ende-2-Ende-Verschlüsselung und weitere Sicherheitsmechanismen.
Eine einfache Möglichkeit System in der eigenen Domäne zu finden, die SMBv1 unterstützten, bietet unser kostenloses AD-Security-Monitoring:
👉 https://sec-auditor.com/funktionen/monitoring/