Med mange ikke-oppdaterte versjoner av Windows i et Active Directory-domene, kan man man-i-midten en klient når den kobles til domenekontrolleren og injiser en gruppepolicy som gir en angriper lokale administratorrettigheter ( https://labs.mwrinfosecurity.com/blog/how-to-own-any-windows-network-with-group-policy-hijacking-attacks/ ). Løsningen er å bruke UNC stivherding for SYSVOL. Hva gjør dette akkurat? Hvordan er det relatert til SMB-signering? Antagelig må det på slutten av dagen være noe som ligner på x509-sertifikater. Hvis ja, når byttes de offentlige nøklene ut?
Kommentarer
- Fra og med 2016 er ' s ingen grunn til å ha upatchede Windows-forekomster. Windows har veldig god kompatibilitet, så selv de fleste Windows-integrerte applikasjoner må jobbe med oppdaterte versjoner. Selv disse oppdaterte versjonene er mer stabile fordi det også finnes programrettinger (i servicepakker). Fra og med 2016 er det ikke-oppdaterte operativsystemet mer som en bakdør og bør tas veldig alvorlig.
- Jeg ser ikke ' t hvordan ' er relevant for spørsmålet.
Svar
UNC Path Hardening kommer fra JASBUG sårbarheter (MS15-011 og MS15-014).
Microsoft foreslår å implementere løsninger på SMB MITM-problemene som lett finnes i Responder.py eller relaterte verktøy og teknikker (f.eks. CORE Impacket , Potet , Tater , SmashedPotato , et al. som inkluderer, men ikke er begrenset til SMB Signing. Mer informasjon tilgjengelig via disse ressursene:
- " Utvidet beskyttelse " primer og implementeringsveiledning for å forhindre MITM
- https://digital-forensics.sans.org/blog/2012/09/18/protecting-privileged-domain-accounts-network-authentication-in-depth
- http://www.snia.org/sites/default/orig/SDC2012/presentations/Revisions/DavidKruse-SMB_3_0_Because_3-2_v2_Revision.pdf
Grunnleggende: Implementere beskyttelse mot SMB MITM og Replay med alltid på SMB-signering, utvidet beskyttelse for autentisering (EPA), og tvinge bruk av SMB 3 (eller i det minste SMB 2.5 med riktig RequireSecureNegotiate – SMB 3 overalt kan kreve Win10-klienter og Win Server 2012 R2 med domene- og skogfunksjonelt nivå på 2012 R2) samtidig som NBT, LLMNR, WPAD og DNS ikke oppretter andre MITM-protokollscenarier.
Deretter kan JASBUG lappes etter UNC Hardened Path-konfigurasjon Legg til. Merk at lappen ikke innebærer en løsning, slik at personen som kommenterte under det opprinnelige spørsmålet ikke forstår dette e JASBUG-sårbarhet (et vanlig funn).