Com muitas versões não corrigidas do Windows em um domínio do Active Directory, pode-se man-in-the-middle um cliente quando ele se conecta ao controlador de domínio e injetar uma política de grupo que forneça privilégios de administrador local a um invasor ( https://labs.mwrinfosecurity.com/blog/how-to-own-any-windows-network-with-group-policy-hijacking-attacks/ ). A solução é usar a proteção de caminho UNC para SYSVOL. O que isso faz exatamente? Como isso está relacionado à assinatura SMB? Presumivelmente, no final do dia, deve ser algo semelhante a certificados x509. Em caso afirmativo, quando as chaves públicas são trocadas?
Comentários
- Em 2016, havia ' s não há razão para ter instâncias do Windows sem patch. O Windows tem uma compatibilidade muito boa, então mesmo a maioria dos aplicativos integrados do Windows terá que funcionar em versões corrigidas. Mesmo essas versões com patch são mais estáveis porque também há correções de aplicativos (em service packs). A partir de 2016, o sistema operacional sem patch é mais como um backdoor e deve ser levado muito a sério.
- Eu não ' não vejo como isso ' é relevante para a pergunta.
Resposta
A proteção de caminho UNC vem de JASBUG (MS15-011 e MS15-014).
A Microsoft sugere a implementação de soluções alternativas para os problemas de SMB MITM facilmente encontrados em Responder.py ou ferramentas e técnicas relacionadas (por exemplo, CORE Impacket , Batata , Tater , SmashedPotato , et al) que incluem, mas não estão limitados a assinatura SMB. Mais informações disponíveis por meio destes recursos:
- " Proteção estendida " cartilha e guia de implementação para evitar MITM
- https://digital-forensics.sans.org/blog/2012/09/18/protecting-privileged-domain-accounts-network-authentication-in-depth
- http://www.snia.org/sites/default/orig/SDC2012/presentations/Revisions/DavidKruse-SMB_3_0_Because_3-2_v2_Revision.pdf
O básico: Implementar proteção contra SMB MITM e Replay com assinatura SMB sempre ativa, Proteção Estendida para Autenticação (EPA) e forçar o uso de SMB 3 (ou pelo menos SMB 2.5 com RequireSecureNegotiate adequado – SMB 3 em todos os lugares pode exigir clientes Win10 e Win Server 2012 R2 com domínio e nível funcional de floresta de 2012 R2) enquanto garante que NBT, LLMNR, WPAD e DNS não criem outros cenários de protocolo MITM.
Depois disso, o JASBUG pode ser corrigido após a configuração do UNC Hardened Path é adicionado. Observe que o patch não implica uma correção, portanto, a pessoa que comentou na pergunta original não entende o e vulnerabilidade JASBUG (um achado comum).