Med mange ikke-patchede versioner af Windows i et Active Directory-domæne kan man man-i-midten en klient, når den opretter forbindelse til domænecontrolleren og indsprøjt en gruppepolitik, der giver en hacker lokale administratorrettigheder ( https://labs.mwrinfosecurity.com/blog/how-to-own-any-windows-network-with-group-policy-hijacking-attacks/ ). Løsningen er at bruge UNC-stivhærdning til SYSVOL. Hvad gør dette nøjagtigt? Hvordan er det relateret til SMB-signering? Formodentlig skal det i slutningen af dagen være noget der ligner x509-certifikater. Hvis ja, hvornår udveksles de offentlige nøgler?
Kommentarer
- Fra og med 2016 er der ' s ingen grund til at have upatchede Windows-forekomster. Windows har meget god kompatibilitet, så selv de fleste Windows-integrerede applikationer bliver nødt til at arbejde på patchede versioner. Selv disse patchede versioner er mere stabile, fordi der også er programrettelser (i servicepakker). Fra og med 2016 er det upatchede operativsystem mere som en bagdør og bør tages meget seriøst.
- Jeg kan ikke ' ikke se, hvordan det ' er relevant for spørgsmålet.
Svar
UNC Path Hardening kommer fra JASBUG sårbarheder (MS15-011 og MS15-014).
Microsoft foreslår at implementere løsninger til SMB MITM-problemer, der let findes i Responder.py eller relaterede værktøjer og teknikker (f.eks. CORE Impacket , Kartoffel , Tater , SmashedPotato , et al.) som inkluderer, men ikke er begrænset til SMB-signering. Flere oplysninger tilgængelige via disse ressourcer:
- " Udvidet beskyttelse " primer og implementeringsvejledning for at forhindre MITM
- https://digital-forensics.sans.org/blog/2012/09/18/protecting-privileged-domain-accounts-network-authentication-in-depth
- http://www.snia.org/sites/default/orig/SDC2012/presentations/Revisions/DavidKruse-SMB_3_0_Because_3-2_v2_Revision.pdf
Grundlæggende: Implementere beskyttelse mod SMB MITM og Replay med altid tændt SMB-signering, Udvidet beskyttelse til godkendelse (EPA) og tvinger brug af SMB 3 (eller i det mindste SMB 2.5 med korrekt RequireSecureNegotiate – SMB 3 overalt kan kræve Win10-klienter og Win Server 2012 R2 med domæne- og skovfunktionsniveau fra 2012 R2), samtidig med at NBT, LLMNR, WPAD og DNS ikke opretter andre MITM-protokolscenarier.
Herefter kan JASBUG patches efter UNC-hærdet sti-konfiguration er tilføjet. Bemærk, at programrettelsen ikke indebærer en rettelse, så den person, der kommenterede under det originale spørgsmål, forstår ikke th e JASBUG-sårbarhed (et almindeligt fund).