Se spoustou neopravených verzí systému Windows v doméně služby Active Directory lze při připojení k řadiči domény spravovat klienta uprostřed. a vložte skupinovou zásadu, která poskytuje útočníkovi oprávnění místního správce ( https://labs.mwrinfosecurity.com/blog/how-to-own-any-windows-network-with-group-policy-hijacking-attacks/ ). Řešením je použití zpevnění cesty UNC pro SYSVOL. Co to dělá přesně? Jak to souvisí s podepisováním SMB? Pravděpodobně to na konci dne musí být něco podobného jako certifikáty x509. Pokud ano, kdy jsou vyměňovány veřejné klíče?
Komentáře
- Od roku 2016 existuje ' s není důvod mít neopravené instance Windows. Windows mají velmi dobrou kompatibilitu, takže i většina integrovaných aplikací pro Windows bude muset pracovat na opravených verzích. I tyto opravené verze jsou stabilnější, protože existují i opravy aplikací (v aktualizacích Service Pack). Od roku 2016 je neopravený operační systém spíše jako zadní vrátka a měl by se brát velmi vážně.
- Nechápu ', jak ten ' relevantní pro otázku.
Odpověď
Kalení cesty UNC pochází z JASBUG zranitelnosti (MS15-011 a MS15-014).
Společnost Microsoft navrhuje implementovat řešení problémů SMB MITM, které lze snadno najít v Responder.py nebo související nástroje a techniky (např. CORE Impacket , Brambor , Tater , SmashedPotato a kol.) které zahrnují, ale nejsou omezeny na podepisování SMB. Další informace dostupné prostřednictvím těchto zdrojů:
- " Rozšířená ochrana " průvodce a průvodce implementací k prevenci MITM
- https://digital-forensics.sans.org/blog/2012/09/18/protecting-privileged-domain-accounts-network-authentication-in-depth
- http://www.snia.org/sites/default/orig/SDC2012/presentations/Revisions/DavidKruse-SMB_3_0_Because_3-2_v2_Revision.pdf
Základní informace: Implementujte ochranu proti SMB MITM a Replay s nepřetržitým podepisováním SMB, Extended Protection for Authentication (EPA) a vynucením používání SMB 3 (nebo alespoň SMB 2.5 se správným RequireSecureNegotiate – SMB 3 všude může vyžadovat klienty Win10 a Win Server 2012 R2 s funkční úrovní domény a doménové struktury roku 2012 R2) a zároveň zajistit, aby NBT, LLMNR, WPAD a DNS nevytvářely další scénáře protokolu MITM.
Poté lze JASBUG po konfiguraci cesty UNC Hardened Path opravit Přidána. Pamatujte, že oprava neznamená opravu, takže osoba, která přidala komentář k původní otázce, nerozumí th e Zranitelnost JASBUG (běžné zjištění).