Active Directory 도메인에 패치되지 않은 Windows 버전이 많으면 도메인 컨트롤러에 연결할 때 클라이언트를 중간에 가로 챌 수 있습니다. 공격자에게 로컬 관리자 권한 ( https://labs.mwrinfosecurity.com/blog/how-to-own-any-windows-network-with-group-policy-hijacking-attacks/ )을 제공하는 그룹 정책을 삽입합니다. 해결책은 SYSVOL에 UNC 경로 강화를 사용하는 것입니다. 이것이 정확히 무엇을합니까? SMB 서명과 어떤 관련이 있습니까? 아마도 하루가 끝나면 x509 인증서와 비슷한 것이어야합니다. 그렇다면 공개 키는 언제 교환 되나요?
댓글
- 2016 년부터 ' 패치되지 않은 Windows 인스턴스를 가질 이유가 없습니다. Windows는 매우 우수한 호환성을 제공하므로 대부분의 Windows 통합 응용 프로그램도 패치 된 버전에서 작동해야합니다. 이러한 패치 된 버전조차도 서비스 팩에 응용 프로그램 수정이 있기 때문에 더 안정적입니다. 2016 년부터 패치가 적용되지 않은 운영 체제는 백도어와 비슷하며 매우 심각하게 받아 들여야합니다.
- 나는 ' 어떻게 그런지 ' 질문과 관련이 있습니다.
답변
UNC 경로 강화는 JASBUG 취약점 (MS15-011 및 MS15-014).
Microsoft는
Responder.py 또는 관련 도구 및 기술 (예 : CORE Impacket , 감자 , 테이터 , SmashedPotato 등) 여기에는 SMB 서명이 포함되지만 이에 국한되지는 않습니다. 다음 리소스를 통해 자세한 정보를 확인할 수 있습니다.
- " 확장 보호 " MITM 방지를위한 입문서 및 구현 가이드
- https://digital-forensics.sans.org/blog/2012/09/18/protecting-privileged-domain-accounts-network-authentication-in-depth
- http://www.snia.org/sites/default/orig/SDC2012/presentations/Revisions/DavidKruse-SMB_3_0_Because_3-2_v2_Revision.pdf
기본 사항 : 상시 SMB 서명, EPA (Extended Protection for Authentication)를 사용하여 SMB MITM 및 재생에 대한 보호를 구현하고 SMB 3 (또는 적절한 RequireSecureNegotiate를 사용하는 SMB 2.5 이상-모든 곳에서 SMB 3에는 Win10 클라이언트 및 Win Server 2012가 필요할 수 있음) 사용 도메인 및 포리스트 기능 수준이 2012 R2 인 R2) NBT, LLMNR, WPAD 및 DNS가 다른 MITM 프로토콜 시나리오를 생성하지 않도록합니다.
그 후에 JASBUG는 UNC 강화 경로 구성 후 패치 될 수 있습니다. 패치는 수정 사항을 의미하지 않으므로 원래 질문에 대해 의견을 말한 사람은 e JASBUG 취약점 (일반적인 발견).