Con molte versioni senza patch di Windows in un dominio Active Directory, si può man-in-the-middle un client quando si connette al controller di dominio e inserire una politica di gruppo che concede a un utente malintenzionato i privilegi di amministratore locale ( https://labs.mwrinfosecurity.com/blog/how-to-own-any-windows-network-with-group-policy-hijacking-attacks/ ). La soluzione è utilizzare la protezione avanzata del percorso UNC per SYSVOL. Cosa fa esattamente questo? In che modo è correlato alla firma SMB? Presumibilmente, alla fine della giornata deve essere qualcosa di simile ai certificati x509. In tal caso, quando vengono scambiate le chiavi pubbliche?
Commenti
- A partire dal 2016 ci sono ' nessun motivo per avere istanze di Windows senza patch. Windows ha unottima compatibilità, quindi anche la maggior parte delle applicazioni integrate di Windows dovrà funzionare su versioni con patch. Anche queste versioni con patch sono più stabili perché ci sono anche correzioni per le applicazioni (nei service pack). A partire dal 2016 il sistema operativo senza patch è più simile a una backdoor e dovrebbe essere preso molto sul serio.
- Non ' per vedere come ' è pertinente alla domanda.
Risposta
UNC Path Hardening proviene da JASBUG (MS15-011 e MS15-014).
Microsoft suggerisce di implementare soluzioni alternative ai problemi SMB MITM facilmente reperibili nel Responder.py o strumenti e tecniche correlati (ad es. CORE Impacket , Potato , Tater , SmashedPotato e altri) che includono ma non sono limitati alla firma SMB. Ulteriori informazioni sono disponibili tramite queste risorse:
- " Protezione estesa " introduzione e guida allimplementazione per prevenire MITM
- https://digital-forensics.sans.org/blog/2012/09/18/protecting-privileged-domain-accounts-network-authentication-in-depth
- http://www.snia.org/sites/default/orig/SDC2012/presentations/Revisions/DavidKruse-SMB_3_0_Because_3-2_v2_Revision.pdf
Le basi: Implementa la protezione contro SMB MITM e Replay con firma SMB sempre attiva, protezione estesa per lautenticazione (EPA) e forzatura delluso di SMB 3 (o almeno SMB 2.5 con RequireSecureNegotiate appropriato – SMB 3 ovunque può richiedere client Win10 e Win Server 2012 R2 con livello di funzionalità di dominio e foresta di 2012 R2) assicurando che NBT, LLMNR, WPAD e DNS non creino altri scenari di protocollo MITM.
Dopodiché, JASBUG può essere corretto dopo la configurazione UNC Hardened Path viene aggiunto. Si noti che la patch non implica una correzione, quindi la persona che ha commentato sotto la domanda originale non capisce e Vulnerabilità JASBUG (una scoperta comune).