Microsoft gaat een eind maken aan het oude, onveilige SMBv1. Dat protocol voor bestandsdeling heeft de massale infectie door ransomwareworm WannaCry mogelijk gemaakt. Maar de SMBv1-exit is vijf jaar terug al ingezet.
Aankomende herfst gaat SMBv1 officieel met pensioen, zoals het er nu voor staat. Het netwerkprotocol Server Message Block (SMB), dat ook wel bekend is onder de naam Common Internet File System (CIFS), stamt uit de jaren negentig. Het is sindsdien niet slechts doorontwikkeld, maar tegelijkertijd in de oudere versies nog veel in gebruik. Deels is dit gebruik een kwestie van ongewijzigde default-instellingen, en deels een kwestie van oudere applicaties en systemen.
Praktisch gevaar
Microsoft adviseert al jaren om SMBv1 uit te schakelen; geheel uit te schakelen. Niet alleen is het protocol namelijk verouderd qua functionaliteit, het is ook achterhaald in termen van beveiliging. Bovendien is het securityrisico geen theoretisch gevaar. De recente massale en internationale infectie door de ransomwareworm WannaCry heeft duidelijk gemaakt dat SMBv1 een praktisch gevaar vormt voor organisaties.
De volgende grote update voor Windows 10, de RedStone 3-release (RS3), moet naast nieuwe functionaliteit ook de uitschakeling van oude functionaliteit brengen. Specifiek: SMBv1. Microsoft heeft in interne ontwikkelbuilds van Windows 10 Enterprise en Windows Server 2016 al SMBv1 uitgeschakeld. Deze builds zijn niet officieel publiekelijk beschikbaar.
Testers
Het huidige plan is om de SMBv1-exit te realiseren met RS3, dat al enige tijd in ontwikkeling is. Een derde previewbuild van RS3 is in april dit jaar al publiekelijk uitgebracht. Testers die zich hebben aangemeld voor het Windows Insider-previewprogramma van Microsoft hebben deze builds al geïnstalleerd gekregen. Daarin is tot op heden nog geen sprake van de beoogde SMBv1-uitschakeling.
Ogenschijnlijk neemt Microsoft deze maatregel in reactie op WannaCry. Eventueel ook met het oog op nieuwe dreigingen, ook voor oudere software. Toch is dit niet het geval, schrijft Bleeping Computer op uit de mond van Microsoft-toptechneut Ned Pyle. Hij is als proogram manager verantwoordelijk voor SMB en streeft er al geruime tijd naar om dat oude protocol uit te bannen.
Pyle verklaart dat het besluit om SMBv1 uit te bannen al zo’n vijf jaar geleden is genomen. Dat was toen een intern besluit, dat vervolgens zo’n drie jaar geleden openbaar is gemaakt. Daarbij was er nog geen harde tijdslijn gesteld: het bleef onbestemd wanneer en in welke (versies van) besturingssystemen het doek zou vallen voor SMBv1.
Nu is de timing tentatief gesteld op aankomende herfst, wanneer RS3 uitkomt. Die volgende grote verbouwing van Windows draagt officieel de naam Fall Creators Update. De uitschakeling is echter niet hard; het geldt namelijk alleen voor verse, schone installaties van Windows (10 en Server 2016). Microsoft dringt de verbeterde beveiliging vooralsnog niet op
Zwarte lijst
Pyle benadrukt dat patching of upgrading niet aan de orde zijn. Bestaande installaties die SMBv1 om wat voor reden dan ook aan hebben staan, behouden die onveilige instelling. Tenzij beheerders zelf actie ondernemen. Microsoft biedt al geruime tijd stap-voor-stap instructies om SMB uit te schakelen.
Daarnaast houdt Pyle een zwarte lijst bij van applicaties en systemen die nog altijd op SMBv1 vertrouwen. Daar pronken producten op van uiteenlopende leveranciers: Canon, Cisco, F5, IBM, McAfee, MYOB, NetApp, NetGear, QNAP, Sonos, Sophos, Synology, Trinti en VMware. Deze lange en uitdijende lijst dient om gebruikers te waarschuwen en om hun leveranciers onder druk te zetten.
Intenties
Overigens sluit Pyle niet de mogelijkheid uit dat Microsoft op gegeven moment toch overgaat tot SMBv1-uitschakeling voor upgrades van reeds actieve Windows-installaties. Dit zou dan wel waarschuwing vooraf en dan nog enig ICT-aanpassingswerk vereisen. De nu bekend gemaakte intentie om SMBv1 uit te schakelen met ingang van RS3 is een vorm van zo’n aankondiging ver vooraf.
