W przypadku wielu niezałatanych wersji systemu Windows w domenie Active Directory można pośredniczyć klientem, gdy łączy się on z kontrolerem domeny i wstrzyknij zasady grupy, które zapewniają atakującemu uprawnienia lokalnego administratora ( https://labs.mwrinfosecurity.com/blog/how-to-own-any-windows-network-with-group-policy-hijacking-attacks/ ). Rozwiązaniem jest użycie hartowania ścieżki UNC dla SYSVOL. Co to dokładnie robi? Jak to się ma do podpisywania SMB? Przypuszczalnie na koniec dnia musi to być coś podobnego do certyfikatów x509. Jeśli tak, to kiedy wymieniane są klucze publiczne?
Komentarze
- Od 2016 r. ' s nie ma powodu, aby mieć niezałatane instancje systemu Windows. Windows ma bardzo dobrą kompatybilność, więc nawet większość aplikacji zintegrowanych z systemem Windows będzie musiała działać na poprawionych wersjach. Nawet te załatane wersje są bardziej stabilne, ponieważ istnieją również poprawki aplikacji (w dodatkach Service Pack). Od 2016 r. Niezałatowany system operacyjny przypomina bardziej backdoora i należy go traktować bardzo poważnie.
- Nie ' nie wiem, jak to ' ma znaczenie dla pytania.
Odpowiedź
Utwardzanie ścieżki UNC pochodzi z JASBUG Luki w zabezpieczeniach (MS15-011 i MS15-014).
Firma Microsoft sugeruje zaimplementowanie obejść problemów SMB MITM, które można łatwo znaleźć w Responder.py lub powiązane narzędzia i techniki (np. CORE Impacket , Ziemniak , Tater , SmashedPotato , et al) które obejmują, ale nie są ograniczone do podpisywania SMB. Więcej informacji dostępnych w tych zasobach:
- " Rozszerzona ochrona " podręcznik i przewodnik po implementacji, aby zapobiec MITM
- https://digital-forensics.sans.org/blog/2012/09/18/protecting-privileged-domain-accounts-network-authentication-in-depth
- http://www.snia.org/sites/default/orig/SDC2012/presentations/Revisions/DavidKruse-SMB_3_0_Because_3-2_v2_Revision.pdf
Podstawy: Wdrożenie ochrony przed SMB MITM i Replay z zawsze włączonym podpisem SMB, rozszerzoną ochroną uwierzytelniania (EPA) i wymuszeniem korzystania z SMB 3 (lub co najmniej SMB 2.5 z odpowiednim RequireSecureNegotiate – SMB 3 wszędzie może wymagać klientów Win10 i Win Server 2012 R2 z poziomem funkcjonalności domeny i lasu 2012 R2) przy jednoczesnym zapewnieniu, że NBT, LLMNR, WPAD i DNS nie tworzą innych scenariuszy protokołów MITM.
Następnie JASBUG można załatać po konfiguracji UNC Hardened Path jest dodawane. Zwróć uwagę, że łatka nie oznacza poprawki, więc osoba, która skomentowała pod pierwotnym pytaniem, nie rozumie e Luka w zabezpieczeniach JASBUG (częste odkrycie).