Med många unpatchade versioner av Windows i en Active Directory-domän kan man man-i-mitten av en klient när den ansluter till domänkontrollanten och injicera en grupppolicy som ger en angripare behörighet för lokala administratörer ( https://labs.mwrinfosecurity.com/blog/how-to-own-any-windows-network-with-group-policy-hijacking-attacks/ ). Lösningen är att använda UNC-väghärdning för SYSVOL. Vad gör detta exakt? Hur är det relaterat till SMB-signering? Förmodligen måste det i slutet av dagen vara något som liknar x509-certifikat. Om så är fallet, när byts de offentliga nycklarna ut?
Kommentarer
- Från och med 2016 finns ' s ingen anledning att ha unpatchade Windows-instanser. Windows har mycket bra kompatibilitet så även de flesta Windows-integrerade applikationer måste fungera på lappade versioner. Även dessa korrigerade versioner är mer stabila eftersom det också finns programkorrigeringar (i servicepack). Från och med 2016 är det ouppdaterade operativsystemet mer som en bakdörr och bör tas på allvar.
- Jag ser inte ' hur den ' är relevant för frågan.
Svar
UNC Path Hardening kommer från JASBUG sårbarheter (MS15-011 och MS15-014).
Microsoft föreslår implementering av lösningar på SMB MITM-problem som lätt finns i Responder.py eller relaterade verktyg och tekniker (t.ex. CORE Impacket , Potatis , Tater , SmashedPotato , et al. som inkluderar men inte är begränsade till SMB-signering. Mer information tillgänglig via dessa resurser:
- " Utökat skydd " primer och implementeringsguide för att förhindra MITM
- https://digital-forensics.sans.org/blog/2012/09/18/protecting-privileged-domain-accounts-network-authentication-in-depth
- http://www.snia.org/sites/default/orig/SDC2012/presentations/Revisions/DavidKruse-SMB_3_0_Because_3-2_v2_Revision.pdf
Grunderna: Implementera skydd mot SMB MITM och Replay med alltid på SMB-signering, Extended Protection for Authentication (EPA) och tvinga användning av SMB 3 (eller åtminstone SMB 2.5 med korrekt RequireSecureNegotiate – SMB 3 överallt kan kräva Win10-klienter och Win Server 2012 R2 med domän- och skogsfunktionsnivå 2012 R2) samtidigt som NBT, LLMNR, WPAD och DNS inte skapar andra MITM-protokollscenarier.
Därefter kan JASBUG lappas efter UNC Hardened Path-konfiguration läggs till. Observera att plåstret inte innebär en fix, så den person som kommenterade under den ursprungliga frågan förstår inte detta e JASBUG-sårbarhet (ett vanligt resultat).