Sigurnosna procjena (security audit) - što je i kako teče
Sigurnosni audit (security audit): što obuhvaća, kako teče kroz pet faza i po čemu se razlikuje od penetracijskog testa.
Pročitaj
SMB pentest je ciljano testiranje sigurnosti Server Message Block protokola, mrežnog servisa koji u svakoj Windows okolini dijeli datoteke, printere i administrativne resurse, a koji je godinama jedan od najzlostavljanijih ulaza za napadače. Ako vam je port 445 vidljiv izvana, ako negdje u mreži još radi SMBv1 ili ako niste zakrpali EternalBlue, napadač ne mora pogoditi nijednu lozinku da bi preuzeo server. Upravo zato se SMB ranjivosti testiraju odvojeno i ozbiljno, a u nastavku objašnjavamo gdje su rizici, kako izgleda pravo testiranje i kako se rupe zatvaraju.
Naše rješenje
Penetracijsko testiranje - otkrivamo ranjivosti prije hakera. Ne morate sami; mi to rješavamo za vašu firmu. Zatražite besplatnu procjenu.
Zašto je SMB i dalje omiljeni vektor napada
SMB je stariji od većine ljudi koji ga danas administriraju. Nastao je kada se na lokalnu mrežu gledalo kao na siguran prostor, pa je dizajn pretpostavljao povjerenje između uređaja. Taj se mentalitet zadržao u nasljeđu: stare verzije protokola, slabo segmentirane mreže i serveri koji su slučajno izloženi prema internetu.
Problem je u tome što SMB nije samo dijeljenje foldera. Kroz njega prolaze autentikacija, udaljena administracija i lateralno kretanje. Kada napadač jednom dobije pristup jednom SMB servisu, on ga koristi kao odskočnu dasku prema cijeloj domeni. Zbog toga jedan zaboravljeni server često znači kompromitaciju cijele organizacije, a ne samo tog jednog uređaja.
Tri klasične rupe koje i dalje viđamo
- Izložen port 445 prema internetu. Server koji je trebao biti samo interni, ali je preko pogrešnog firewall pravila ili NAT mapiranja vidljiv s vanjske mreže. Automatizirani skeneri ga pronađu u roku od nekoliko sati.
- Aktivan SMBv1. Verzija protokola koju je i sam Microsoft proglasio nesigurnom i koju treba ukloniti. Ona nema modernu zaštitu integriteta i ranjiva je na cijeli niz napada, uključujući EternalBlue.
- Nedostatak SMB potpisivanja (signing). Bez obaveznog potpisivanja moguć je relay napad u kojem napadač presretne autentikaciju i preda je drugom serveru kao da je legitimni korisnik.
EternalBlue i lekcija koju mnogi nisu naučili
EternalBlue je naziv ranjivosti u SMBv1 protokolu, javno otkrivene 2017. godine. Ona je pokrenula WannaCry i NotPetya, dvije najskuplje epidemije ransomwarea u povijesti, koje su zaustavile bolnice, luke i proizvodne pogone širom svijeta. Microsoft je zakrpu izdao prije nego što je val krenuo, no nezakrpani sustavi su pali jer ih nitko nije ažurirao.
Tužna je istina da i danas, godinama kasnije, redovito pronalazimo sustave ranjive na EternalBlue. To su uglavnom stariji serveri koji vrte naslijeđene aplikacije koje se nitko ne usuđuje dirati, industrijski uređaji i radne stanice u proizvodnji koje se rijetko gase. Napad ne traži korisničku interakciju: nema klika na phishing link, nema otvaranja priloga. Dovoljno je da je ranjivi servis dostupan na mreži.
Poenta SMB pentest pristupa nije da vam kažemo da EternalBlue postoji, to već znate. Poenta je da vam pokažemo gdje točno u vašoj mreži još uvijek živi i kako bi ga napadač iskoristio za potpunu kompromitaciju.
Kako izgleda ozbiljan SMB pentest
Pravo testiranje nije pokretanje jednog skenera i ispis izvještaja. Skener će vam dati popis sumnji, ali tek ručna verifikacija pokazuje što je stvarno iskoristivo. Naš proces u NeoBitu prolazi kroz nekoliko jasnih faza.
1. Mapiranje izloženosti
Prvo utvrđujemo gdje SMB uopće sluša. Skeniramo port 445 (i stari 139) interno i prema internetu, evidentiramo svaki uređaj koji odgovara i bilježimo verziju protokola i dijalekt. Ovdje često ispliva server za koji klijent nije ni znao da je izložen.
2. Identifikacija ranjivosti
Za svaki pronađeni servis provjeravamo je li ranjiv na poznate eksploite (EternalBlue i srodne), je li uključen SMBv1, je li potpisivanje obavezno i koji su share-ovi dostupni anonimno ili sa slabim akreditivima.
3. Kontrolirana eksploatacija
Ranjivost se potvrđuje, ne nagađa. U dogovorenom opsegu i bez rušenja produkcije demonstriramo stvarni utjecaj: pristup datotekama, izvršavanje koda, relay autentikacije ili lateralno kretanje prema drugim sustavima.
4. Izvještaj koji se može iskoristiti
Dobivate konkretan popis: koji uređaj, koja ranjivost, kolika ozbiljnost i točno koji koraci za sanaciju. Bez generičkog teksta koji se može zalijepiti na bilo koju firmu.
| Element | Sigurno stanje | Rizično stanje |
|---|---|---|
| Port 445 prema internetu | Zatvoren, dostupan samo interno ili preko VPN-a | Otvoren i vidljiv s javne mreže |
| Verzija protokola | SMBv2/v3, SMBv1 potpuno uklonjen | SMBv1 i dalje aktivan |
| EternalBlue zakrpa | Instalirana na svim sustavima | Nezakrpani naslijeđeni serveri |
| SMB potpisivanje | Obavezno (required) | Isključeno ili neobavezno |
| Anonimni pristup share-ovima | Onemogućen | Dozvoljen guest ili null session |
Kako se SMB rupe zatvaraju
Dobra vijest je da se većina ovih problema rješava bez velikih ulaganja, samo treba dosljednost i kontrola. Nakon testiranja preporuke obično idu ovim redom:
- Uklonite SMBv1 u potpunosti. Na modernim Windows sustavima to je opcija koja se isključuje, a kod naslijeđenih aplikacija treba pronaći zamjenu ili ih izolirati.
- Zatvorite port 445 prema internetu. SMB nikada ne bi smio biti izložen javno. Udaljeni pristup ide isključivo kroz VPN.
- Uključite obavezno SMB potpisivanje kako biste presjekli relay napade.
- Segmentirajte mrežu. Ako napadač i probije jedan uređaj, segmentacija mu otežava lateralno kretanje prema kritičnim serverima.
- Uspostavite redovito krpanje. EternalBlue je zakrpan godinama unazad, pa činjenica da ga još pronalazimo govori da problem nije zakrpa nego proces.
Zatvaranje rupa nije jednokratni posao. Nove ranjivosti se pojavljuju, a okolina se mijenja svaki put kada netko doda server ili promijeni firewall pravilo. Zato preporučujemo da se SMB pentest radi periodično, a ne samo jednom.
Gdje tu ulazi NeoBit
NeoBit je sigurnosna firma iz Mostara koja radi penetracijska testiranja, SOC nadzor te EDR i SIEM zaštitu za firme u BiH, Hrvatskoj i regiji. SMB ranjivosti su nam česta tema upravo zato što ih klijenti podcjenjuju, a posljedice kompromitacije kroz njih znaju biti potpune. Ne radimo automatizirane izvještaje za odjavu, nego stvarno provjeravamo što je u vašoj mreži iskoristivo i dajemo jasne korake za sanaciju.
Ako niste sigurni je li vam port 445 izložen, vrti li se negdje još SMBv1 ili jeste li zaista zakrpani protiv EternalBlue, javite nam se za procjenu. Bolje je da to otkrijemo mi nego napadač. Kontaktirajte NeoBit i dogovorite početni razgovor o sigurnosti vaše mreže.
Često postavljana pitanja
Što je SMB pentest i čemu služi?
SMB pentest je ciljano sigurnosno testiranje Server Message Block protokola kojim Windows mreže dijele datoteke i resurse. Cilj je otkriti izložene servise, stare verzije protokola i poznate ranjivosti poput EternalBluea prije nego ih iskoristi napadač, te dati konkretne korake za njihovo zatvaranje.
Je li EternalBlue još uvijek opasan?
Da. Iako je zakrpa dostupna godinama, i danas redovito pronalazimo nezakrpane sustave, najčešće starije servere i industrijske uređaje. Napad ne traži interakciju korisnika, pa je dovoljno da je ranjivi SMB servis dostupan na mreži da bi došlo do potpune kompromitacije.
Treba li mi SMB pentest ako je port 445 zatvoren prema internetu?
Da, jer većina kompromitacija ide iznutra. Ako napadač dobije pristup jednom uređaju na lokalnoj mreži, slabo zaštićen SMB mu omogućava lateralno kretanje prema serverima i domeni. Interna izloženost je jednako važna kao i vanjska.
Koliko često treba ponavljati testiranje?
Preporučujemo barem jednom godišnje, a obavezno nakon većih promjena u infrastrukturi, kao što su novi serveri, izmjene firewall pravila ili migracije. Okolina se stalno mijenja, pa jednokratno testiranje brzo zastari.
Povezani vodiči: Cyber sigurnost u BiH - kompletan vodič · Sigurnosna procjena (security audit) - što je i kako teče · Red team, blue team i purple team - razlike
