SMB v2 client

dinsdag 16 mei 2017 08:03

Acties:

Topicstarter

Mijn vraag
Wij hebben hier een fileserver. Vroeger konden alle computers deze benaderen op de manier \\fileserver, hierna werden credentials gevraagd en kon je met je domeincredentials inloggen (domein\user).
Nu is SMB v1 uitgezet. Het probleem is dat er nu niet meer om credentials gevraad wordt op het moment dat je naar \\fileserver gaat. Kan je met de nieuwe SMB versie alleen nog maar in het domein connecten naar een share of is hier een client voor?

Relevante software en hardware die ik gebruik
Windows 7 pro

Wat ik al gevonden of geprobeerd heb
Ik vind vooral veel over linuxcomputers die met samba connecten naar SMB shares maar ik vind eigenlijk heel weinig over SMBv2 connectiviteit.

12 x 385Wp op HD4000SolarEdge zuid 13° pvoutput

dinsdag 16 mei 2017 09:31

Naj_Geetsrev

Snowhite0901 schreef op dinsdag 16 mei 2017 @ 09:29:
Correct.

Probeer eens te mounten met:

code:

1	net use \\SERVERNAME /u:DOMAIN\USER

dinsdag 16 mei 2017 08:21

Acties:

wouter.N

We hebben echt meer info nodig. Is het een linux file server? Waarom is SMB V1 uitgezet?

[ Voor 18% gewijzigd door wouter.N op 16-05-2017 08:21 ]

dinsdag 16 mei 2017 08:25

Acties:

Ravefiend

Carpe diem!

wouter.N schreef op dinsdag 16 mei 2017 @ 08:21:
We hebben echt meer info nodig. Is het een linux file server? Waarom is SMB V1 uitgezet?

De reden zal ongetwijfeld wel de WannaCry-malware zijn, die zich enkel via SMB v1 verspreidt.

dinsdag 16 mei 2017 08:27

Acties:

Snowhite0901

Topicstarter

wouter.N schreef op dinsdag 16 mei 2017 @ 08:21:
We hebben echt meer info nodig. Is het een linux file server? Waarom is SMB V1 uitgezet?

Eerlijk gezegd geen idee. Ik ga er eens achteraan of ik dat kan achterhalen.

Ravefiend schreef op dinsdag 16 mei 2017 @ 08:25:
[...]

De reden zal ongetwijfeld wel de WannaCry-malware zijn, die zich enkel via SMB v1 verspreidt.

helemaal correct.

12 x 385Wp op HD4000SolarEdge zuid 13° pvoutput

dinsdag 16 mei 2017 08:36

Acties:

wouter.N

Ravefiend schreef op dinsdag 16 mei 2017 @ 08:25:
[...]

De reden zal ongetwijfeld wel de WannaCry-malware zijn, die zich enkel via SMB v1 verspreidt.

Dat is niet correct, het verspreid ook via SMB v2. Zie:

https://securelist.com/bl...tacks-all-over-the-world/

en:
https://www.theregister.c...ta_dump/?mt=1494917198596
https://support.kaspersky.com/shadowbrokers
https://github.com/RiskSe...e/ms17_010_eternalblue.rb
https://www.digitalsecuri...lysis-shadow-brokers-leak

[ Voor 28% gewijzigd door wouter.N op 16-05-2017 08:49 ]

dinsdag 16 mei 2017 08:50

Acties:

Ravefiend

Carpe diem!

wouter.N schreef op dinsdag 16 mei 2017 @ 08:36:
[...]

Dat is niet correct, het verspreid ook via SMB v2. Zie:

https://securelist.com/bl...tacks-all-over-the-world/

en:
https://www.theregister.c...ta_dump/?mt=1494917198596
https://support.kaspersky.com/shadowbrokers
https://github.com/RiskSe...e/ms17_010_eternalblue.rb

Nochtans als je Microsoft Security Bulletin MS17-010 bekijkt, dan zijn alle CVE's gerelateerd aan SMB v1, en voor zover ik de code op github lees, vereist de exploit zowel SMB v1 als v2 commando's. Zonder SMB v1 zal die exploit niet meer werken.

https://securelist.com/bl...t-you-need-to-know-today/

I’ve seen conflicting reports about the exploit. Is it targeting SMBv1 or SMBv2?

The vulnerability exploited by the EternalBlue tool lies in the SMBv1 implementation. However, to exploit it, the tool also uses SMBv2. This means that it uses both SMBv1 and SMBv2 packets during the attack. Disabling SMBv1 or SMBv2 prevents the infection; however, while disabling SMBv1 (an old protocol) has no significant impact on modern systems, disabling SMBv2 can cause problems. This is why it is highly recommended to disable SMBv1 for the current attack and for the future.

[ Voor 35% gewijzigd door Ravefiend op 16-05-2017 08:54 ]

dinsdag 16 mei 2017 09:01

Acties:

wouter.N

Ravefiend schreef op dinsdag 16 mei 2017 @ 08:50:
[...]

Nochtans als je Microsoft Security Bulletin MS17-010 bekijkt, dan zijn alle CVE's gerelateerd aan SMB v1, en voor zover ik de code op github lees, vereist de exploit zowel SMB v1 als v2 commando's. Zonder SMB v1 zal die exploit niet meer werken.

https://securelist.com/bl...t-you-need-to-know-today/

[...]

Duidelijk, bedankt.

dinsdag 16 mei 2017 09:16

Acties:

Snowhite0901

Topicstarter

Members only:

Alleen zichtbaar voor ingelogde gebruikers. Inloggen

12 x 385Wp op HD4000SolarEdge zuid 13° pvoutput

dinsdag 16 mei 2017 09:22

Acties:

Naj_Geetsrev

Snowhite0901 schreef op dinsdag 16 mei 2017 @ 09:16:
***members only***

Netapp is een storage oplossing. Ik neem aan dat je ipv een fileserver de CIFS oplossing van Netapp bedoeld?

dinsdag 16 mei 2017 09:29

Acties:

Snowhite0901

Topicstarter

Correct.

12 x 385Wp op HD4000SolarEdge zuid 13° pvoutput

dinsdag 16 mei 2017 09:31

Acties:

Beste antwoord ✓

Naj_Geetsrev

Snowhite0901 schreef op dinsdag 16 mei 2017 @ 09:29:
Correct.

Probeer eens te mounten met:

code:

1	net use \\SERVERNAME /u:DOMAIN\USER

dinsdag 16 mei 2017 09:49

Acties:

Snowhite0901

Topicstarter

Ik krijg dezelfde melding als wanneer ik gewoon met \\SERVERNAME probeer:
System error 1311 has occurred.

There are currently no logon servers available to service the logon request.

12 x 385Wp op HD4000SolarEdge zuid 13° pvoutput

woensdag 17 mei 2017 03:15

Acties:

wouter.N

Snowhite0901 schreef op dinsdag 16 mei 2017 @ 09:16:
***members only***

De server draait ONTAP? Welke versie? Alleen ONTAP "7.3.1 and newer;8.x" ondersteunt SMBv2.

woensdag 17 mei 2017 04:07

Acties:

johnkeates

Heb je dan niet een NetApp support contract?

woensdag 17 mei 2017 08:24

Acties:

Snowhite0901

Topicstarter

Een windows server 2003 machine kan er wel gewoon bij...die ondersteund niet eens SMB2.
Ik heb geen idee welke versie ONTAP er draait, en daar kan ik helaas ook niet achter komen aangezien dat bij ICT ligt die officieel geen machines ondersteunen die niet in het domein zitten.

Ik dank jullie allen voor de hulp. Ik ga het voorlopig wel op een andere manier proberen!

12 x 385Wp op HD4000SolarEdge zuid 13° pvoutput

donderdag 18 mei 2017 16:50

Acties:

Snowhite0901

Topicstarter

Naj_Geetsrev schreef op dinsdag 16 mei 2017 @ 09:31:
[...]

met deze code werkte het niet, maar uiteindelijk werkte het wel met:
code:
1
net use \\SERVERNAME /u:DOMAIN\USER

code:

1	net use Z: "\\SERVERNAME" /user:DOMAIN\USER "pasword"

[/quote]
nadat ik deze succesvol had gemount kon ik er weer gewoon met \\servername bij.

Wel raar trouwens dat dit wel werkte maar die andere niet want het lijkt verdacht veel op elkaar.
bedankt voor de hulp

12 x 385Wp op HD4000SolarEdge zuid 13° pvoutput

Vraag

Beste antwoord (via Snowhite0901 op 18-05-2017 16:48)

Alle reacties