Abuse: Serviço NetBIOS (137/udp) Habilitado para a Internet

Alertas, tratamento e Vulnerabilidades em Redes de Computadores. Documentos que inclui mas não se limitam à comunidade vítima ou agente de ameaça que pretenda alertar ou tratar incidentes de segurança da informação.
Responder
Avatar do usuário
bernardino
Site Admin
Mensagens: 682
Registrado em: 28 Ago 2020, 15:11

Abuse: Serviço NetBIOS (137/udp) Habilitado para a Internet

Mensagem por bernardino »

O que é o serviço NetBIOS (137/udp)?

O servico NetBIOS é utilizado tipicamente por sistemas Microsoft Windows, ou sistemas Unix através do Samba, para compartilhamento de arquivos e impressoras.

Por se tratar de um serviço geralmente utilizado apenas dentro de redes locais e com sistemas anteriores ao Microsoft Windows 2000, é muito provável que não exista necessidade do serviço NetBIOS estar exposto à Internet.

Caso esteja acessível a toda a Internet via UDP, esse serviço pode ser explorado para ataques DDoS que usem amplificação.

Isto ocorre porque o atacante envia uma requisição forjando o IP da vítima e o servidor com NetBIOS retorna uma resposta muito maior que a requisição.

Por que devo me preocupar com isso?

O NetBIOS pode ser abusado para causar danos a terceiros, envolvendo sua rede em ataques a outras organizações e implicando em um consumo de banda maior.

Além dessas implicações, esse serviço pode revelar informacoes sensíveis sobre sua rede e seus dados armazenados.

Informações adicionais sobre como evitar que sua rede seja abusada para ataques DDoS podem ser encontradas aqui.

Como faço para corrigir o problema?

Em sistemas Microsoft Windows desabilite o recurso chamado NetBIOS sobre TCP/IP (ou NetBIOS over TCP/IP) se ele for desnecessário aos usuários da rede.

Caso não seja possível desabilitar esse recurso sugerimos que limite o acesso a este serviço apenas para usuários de sua rede.

Em servidores Unix reconfigure o Samba incluindo a linha abaixo no arquivo de configuração:

Código: Selecionar todos

disable netbios = yes
Se o Samba for desnecessário nesse equipamento recomendamos que o desabilite.

Onde posso obter informações adicionais sobre o abuso do protocolo NetBIOS para ataques DDoS?
Como posso ter certeza que resolvi o problema?

Você pode verificar seu servidor através do seguinte comando:

(preferencialmente execute-o a partir da Internet, ou seja, fora de uma rede interna que tenha permissão de acesso ao servidor).

A partir de sistemas Microsoft Windows:

Código: Selecionar todos

$ nbtstat -A IP_SERVIDOR
A partir de sistemas Unix com Samba:

Código: Selecionar todos

$ nmblookup -A IP_SERVIDOR
Onde IP_SERVIDOR é o IP do servidor NetBIOS a ser testado.

Se o teste for realizado a partir de um sistema Unix, recomendamos que antes de executar o comando acima certifique-se que você tem a ferramenta nmblookup instalada em seu computador.

Onde aprender mais sobre configuração segura de sistemas?

Práticas de Segurança para Administradores de Redes Internet: https://cert.br/docs/seg-adm-redes/
Algumas pessoas acham que foco significa dizer sim para a coisa em que você vai se focar.
Mas não é nada disso.
Significa dizer não às centenas de outras boas ideias que existem.
Você precisa selecionar cuidadosamente.”

Steve Jobs
Voltar ao topo
Responder

Voltar para “CTIR - Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos”