Avec beaucoup de versions non corrigées de Windows dans un domaine Active Directory, on peut man-in-the-middle un client lorsquil se connecte au contrôleur de domaine et injectez une stratégie de groupe qui donne à un attaquant des privilèges dadministrateur local ( https://labs.mwrinfosecurity.com/blog/how-to-own-any-windows-network-with-group-policy-hijacking-attacks/ ). La solution consiste à utiliser le renforcement de chemin UNC pour SYSVOL. Quest-ce que cela fait exactement? Quel est le lien avec la signature SMB? Vraisemblablement, à la fin de la journée, il doit sagir de quelque chose de similaire aux certificats x509. Si tel est le cas, quand les clés publiques sont-elles échangées?
Commentaires
- Depuis 2016, il y a ' aucune raison davoir des instances Windows non corrigées. Windows a une très bonne compatibilité, de sorte que même la plupart des applications intégrées à Windows devront fonctionner sur des versions corrigées. Même ces versions corrigées sont plus stables car il existe également des correctifs dapplication (dans les Service Packs). Depuis 2016, le système dexploitation non corrigé ressemble plus à une porte dérobée et doit être pris très au sérieux.
- Je ne ' voir comment cela ' est pertinent par rapport à la question.
Réponse
Le durcissement de chemin UNC provient du Vulnérabilités JASBUG (MS15-011 et MS15-014).
Microsoft suggère dimplémenter des solutions de contournement aux problèmes SMB MITM facilement trouvés dans le Responder.py ou des outils et techniques associés (par exemple, CORE Impacket , Pomme de terre , Tater , SmashedPotato , et al) qui incluent mais ne sont pas limités à la signature SMB. Plus dinformations disponibles via ces ressources:
- " Protection étendue " Introduction et guide de mise en œuvre pour éviter les MITM
- https://digital-forensics.sans.org/blog/2012/09/18/protecting-privileged-domain-accounts-network-authentication-in-depth
- http://www.snia.org/sites/default/orig/SDC2012/presentations/Revisions/DavidKruse-SMB_3_0_Because_3-2_v2_Revision.pdf
Les bases: Mettez en œuvre la protection contre SMB MITM et Replay avec la signature SMB toujours active, la protection étendue pour lauthentification (EPA) et le forçage de lutilisation de SMB 3 (ou au moins de SMB 2.5 avec RequireSecureNegotiate approprié – SMB 3 partout peut nécessiter des clients Win10 et Win Server 2012 R2 avec le niveau fonctionnel de domaine et de forêt de 2012 R2) tout en garantissant que NBT, LLMNR, WPAD et DNS ne créent pas dautres scénarios de protocole MITM.
Après quoi, JASBUG peut être corrigé après la configuration du chemin renforcé UNC est ajouté. Notez que le correctif nimplique pas de correctif, donc la personne qui a commenté sous la question dorigine ne comprend pas e Vulnérabilité JASBUG (une découverte commune).