SMB kan användas för att deanonymisera Internet-användare

author Kristian Bremberg, om Integritet på nätet

I en bloggpost skriven av ValdikSS så förklaras det hur en attacker kan använda Windows inbyggda funktion "Server Message Block" (SMB) för att fånga en användares NTLM hash samt emailadress kopplat till nuvarande kontot.

Denna metod är inte något direkt nytt, men vad författaren lyfter fram är integritetskonsekvenserna. Det är alltså möjligt att enbart besöka en sida för att sedan utan din vetskap skicka iväg personliga uppgifter till en annan domän.

För att summera sårbarheten:

  • Det fungerar enbart i Windows
  • Du måste använda Internet Explorer eller Edge för att få det att fungera automatiskt
  • Det fungerar i Chrome och Firefox, men då måste du manuellt besöka en adress genom att skriva in den i adressfältet

Vi på OVPN blev kontaktade innan artikeln publicerades så vi hade tid att åtgärda detta. Dock visar det sig vara svårare sagt än gjort. Detta är eftersom den enda lösning är att blockera tre portar på alla våra VPN-servrar. Dessa portar kan dessutom användas helt legitimt av våra användare. Vi har diskuterat detta problem internt och har kommit fram till slutsatsen att det är bäst att vi tydliggör hur man som klient kan skydda sig, istället för att vi blockar portar på våra VPN-servrar.


Rekommendation

Vi rekommenderar er som använder Windows att applicera en Regedit-fil för att åtgärda detta problem. Detta är mycket enkelt, allt ni behöver göra är att spara detta innehåll:

Windows Registry Editor Version 5.00
[HKEY\_LOCAL\_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
"RestrictReceivingNTLMTraffic"=dword:00000002
"RestrictSendingNTLMTraffic"=dword:00000002

i en fil med namnet "fix.reg". Dubbelklicka sedan på filen och tryck på "OK" om UAC ber dig att godkänna handlingen.

För att testa att det fungerar så kan ni besöka sidan här: http://witch.valdikss.org.ru/ - Dock vill vi varna för att besöka sidan då den skickar er privata email samt NTML hash till en utomstående domän. För säkerhetsskull så kan ni besöka sidan efter ni applicerat ovanstående fix.

Vi kommer att inkludera denna fix i vår klient inom en snar framtid, men tills dess bör ni applicera patchen manuellt.