Met veel niet-gepatchte versies van Windows in een Active Directory-domein kan men een client man-in-the-middle maken wanneer deze verbinding maakt met de domeincontroller en injecteer een groepsbeleid dat een aanvaller lokale beheerdersrechten geeft ( https://labs.mwrinfosecurity.com/blog/how-to-own-any-windows-network-with-group-policy-hijacking-attacks/ ). De oplossing is om UNC padharden te gebruiken voor SYSVOL. Wat doet dit precies? Hoe is het gerelateerd aan SMB-ondertekening? Vermoedelijk moet het aan het eind van de dag iets zijn dat lijkt op x509-certificaten. Zo ja, wanneer worden de openbare sleutels uitgewisseld?
Reacties
- Sinds 2016 zijn er ' s geen reden om niet-gepatchte Windows-instanties te hebben. Windows heeft een zeer goede compatibiliteit, dus zelfs de meeste in Windows geïntegreerde applicaties zullen moeten werken met gepatchte versies. Zelfs deze gepatchte versies zijn stabieler omdat er ook applicatiefixes zijn (in servicepacks). Sinds 2016 is het niet-gepatchte besturingssysteem meer een achterdeur en moet het zeer serieus worden genomen.
- Ik begrijp niet ' hoe dat ' s relevant voor de vraag.
Antwoord
UNC Path Hardening komt van de JASBUG kwetsbaarheden (MS15-011 en MS15-014).
Microsoft raadt aan om tijdelijke oplossingen te implementeren voor de SMB MITM-problemen die gemakkelijk te vinden zijn in de Responder.py of gerelateerde tools en technieken (bijv. CORE Impacket , Aardappel , Tater , SmashedPotato , et al) waaronder, maar niet beperkt tot, SMB-ondertekening. Meer informatie is beschikbaar via deze bronnen:
- " Uitgebreide bescherming " primer en implementatiegids om MITM te voorkomen
- https://digital-forensics.sans.org/blog/2012/09/18/protecting-privileged-domain-accounts-network-authentication-in-depth
- http://www.snia.org/sites/default/orig/SDC2012/presentations/Revisions/DavidKruse-SMB_3_0_Because_3-2_v2_Revision.pdf
De basis: Implementeer bescherming tegen SMB MITM en Replay met always-on SMB-ondertekening, Extended Protection for Authentication (EPA) en het gebruik van SMB 3 (of ten minste SMB 2.5 met de juiste RequireSecureNegotiate – SMB 3 overal kan Win10-clients en Win Server 2012 vereisen) R2 met domein- en forestfunctionaliteitsniveau van 2012 R2) terwijl u ervoor zorgt dat NBT, LLMNR, WPAD en DNS geen andere MITM-protocolscenarios creëren.
Daarna kan JASBUG worden gepatcht na de UNC Hardened Path-configuratie is toegevoegd. Houd er rekening mee dat de patch geen fix impliceert, dus de persoon die commentaar leverde bij de oorspronkelijke vraag begrijpt de e JASBUG-kwetsbaarheid (een veel voorkomende bevinding).