matomo

Secure your spring: get 77% off our 2 year plan! Get Deal
Frakoblet
« Om sårbarheten 'SWEET32' og hvorfor OVPN.se ikke påvirkes av den Angående sikkerhetsproblemet med "port fail" »

SMB kan brukes til å deanonymisere internettbrukere

David Wibergh, om Personvern på nettet

Et blogginnlegg skrevet av ValdikSS forklarer hvordan en angriper kan bruke Windows' innebygde funksjon "Server Message Block" (SMB) til å registrere NTLM-hash-koden til en bruker samt e-postadressen som er knyttet til den nåværende kontoen.

Denne metoden er ikke akkurat ny, men det forfatteren fremhever er personvernimplikasjonene. Det er derfor mulig å bare besøke én side, og deretter, uten din viten, sende personlig informasjon til et annet domene.

For å oppsummere sikkerhetsproblemet:

  • Det fungerer bare i Windows
  • Du må bruke Internet Explorer eller Edge til å få det til å fungere automatisk
  • Det fungerer i Chrome og Firefox, men da må du manuelt besøke en adresse ved å skrive den inn i adressefeltet

Vi på OVPN ble kontaktet før artikkelen ble publisert, så vi hadde tid til å fikse dette. Det viser seg imidlertid å være lettere sagt enn gjort. Dette er fordi den eneste løsningen er å blokkere tre porter på alle våre VPN-servere. I tillegg kan disse portene brukes legitimt av våre brukere. Vi har diskutert dette problemet internt og har kommet til den konklusjon at det er best at vi avklare hvordan kundene kan beskytte seg selv, i stedet for å blokkere porter på våre VPN-servere.

Anbefaling

Vi anbefaler at Windows-brukere bruker en Regedit-fil for å løse dette problemet. Dette er veldig enkelt, alt du trenger å gjøre er å lagre dette innholdet: 

Windows Registry Editor Version 5.00
[HKEY\_LOCAL\_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
"BegrensRingTLMTraffic"=dword:00000002
"BegrenssendingNTLMTraffic"=dword:00000002

i en fil med navnet "fix.reg". Dobbeltklikk deretter filen og trykk "OK" hvis UAC ber deg om å godkjenne handlingen.

For å teste at det fungerer, kan du besøke denne siden: http://witch.valdikss.org.ru/ - Men vi vil advare deg om ikke å besøke nettstedet, siden det sender din private e-post, samt NTML-hash til et eksternt domene. For å være på den sikre side kan du besøke siden etter at du har løsningen over.

Vi vil inkludere denne løsningen i vår klient i nær fremtid, men inntil da bør du legge inn patchen manuelt.

David Wibergh