Se spoustou neopravených verzí systému Windows v doméně služby Active Directory lze při připojení k řadiči domény spravovat klienta uprostřed. a vložte skupinovou zásadu, která poskytuje útočníkovi oprávnění místního správce ( https://labs.mwrinfosecurity.com/blog/how-to-own-any-windows-network-with-group-policy-hijacking-attacks/ ). Řešením je použití zpevnění cesty UNC pro SYSVOL. Co to dělá přesně? Jak to souvisí s podepisováním SMB? Pravděpodobně to na konci dne musí být něco podobného jako certifikáty x509. Pokud ano, kdy jsou vyměňovány veřejné klíče?

Komentáře

  • Od roku 2016 existuje ' s není důvod mít neopravené instance Windows. Windows mají velmi dobrou kompatibilitu, takže i většina integrovaných aplikací pro Windows bude muset pracovat na opravených verzích. I tyto opravené verze jsou stabilnější, protože existují i opravy aplikací (v aktualizacích Service Pack). Od roku 2016 je neopravený operační systém spíše jako zadní vrátka a měl by se brát velmi vážně.
  • Nechápu ', jak ten ' relevantní pro otázku.

Odpověď

Kalení cesty UNC pochází z JASBUG zranitelnosti (MS15-011 a MS15-014).

Společnost Microsoft navrhuje implementovat řešení problémů SMB MITM, které lze snadno najít v Responder.py nebo související nástroje a techniky (např. CORE Impacket , Brambor , Tater , SmashedPotato a kol.) které zahrnují, ale nejsou omezeny na podepisování SMB. Další informace dostupné prostřednictvím těchto zdrojů:

Základní informace: Implementujte ochranu proti SMB MITM a Replay s nepřetržitým podepisováním SMB, Extended Protection for Authentication (EPA) a vynucením používání SMB 3 (nebo alespoň SMB 2.5 se správným RequireSecureNegotiate – SMB 3 všude může vyžadovat klienty Win10 a Win Server 2012 R2 s funkční úrovní domény a doménové struktury roku 2012 R2) a zároveň zajistit, aby NBT, LLMNR, WPAD a DNS nevytvářely další scénáře protokolu MITM.

Poté lze JASBUG po konfiguraci cesty UNC Hardened Path opravit Přidána. Pamatujte, že oprava neznamená opravu, takže osoba, která přidala komentář k původní otázce, nerozumí th e Zranitelnost JASBUG (běžné zjištění).

Komentáře

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *