Con una gran cantidad de versiones sin parchear de Windows en un dominio de Active Directory, uno puede intervenir en un cliente cuando se conecta al controlador de dominio e inyectar una política de grupo que otorgue privilegios de administrador local al atacante ( https://labs.mwrinfosecurity.com/blog/how-to-own-any-windows-network-with-group-policy-hijacking-attacks/ ). La solución es utilizar el endurecimiento de ruta UNC para SYSVOL. ¿Qué hace esto exactamente? ¿Cómo se relaciona con la firma de SMB? Presumiblemente, al final del día debe ser algo similar a los certificados x509. Si es así, ¿cuándo se intercambian las claves públicas?
Comentarios
- A partir de 2016 hay ' s no hay razón para tener instancias de Windows sin parchear. Windows tiene una muy buena compatibilidad, por lo que incluso la mayoría de las aplicaciones integradas de Windows tendrán que funcionar en versiones parcheadas. Incluso estas versiones parcheadas son más estables porque también hay correcciones de aplicaciones (en los paquetes de servicios). A partir de 2016, el sistema operativo sin parches es más como una puerta trasera y debe tomarse muy en serio.
- No ' no veo cómo eso ' es relevante para la pregunta.
Respuesta
El endurecimiento de ruta UNC proviene de JASBUG vulnerabilidades (MS15-011 y MS15-014).
Microsoft sugiere implementar soluciones para los problemas de SMB MITM que se encuentran fácilmente en el Responder.py o herramientas y técnicas relacionadas (p. ej., CORE Impacket , Papa , Tater , SmashedPotato , et al) que incluyen pero no se limitan a la firma SMB. Más información disponible a través de estos recursos:
- " Protección extendida " guía básica y de implementación para evitar MITM
- https://digital-forensics.sans.org/blog/2012/09/18/protecting-privileged-domain-accounts-network-authentication-in-depth
- http://www.snia.org/sites/default/orig/SDC2012/presentations/Revisions/DavidKruse-SMB_3_0_Because_3-2_v2_Revision.pdf
Los conceptos básicos: Implemente protección contra SMB MITM y Replay con firma SMB siempre activa, protección extendida para autenticación (EPA) y forzar el uso de SMB 3 (o al menos SMB 2.5 con RequireSecureNegotiate adecuado – SMB 3 en todas partes puede requerir clientes Win10 y Win Server 2012 R2 con nivel funcional de dominio y bosque de 2012 R2) mientras se garantiza que NBT, LLMNR, WPAD y DNS no creen otros escenarios de protocolo MITM.
Después de lo cual, JASBUG se puede parchear después de la configuración de ruta protegida UNC Se agrega. Tenga en cuenta que el parche no implica una solución, por lo que la persona que comentó en la pregunta original no comprende la La vulnerabilidad JASBUG (un hallazgo común).