¿Cómo funciona el endurecimiento de la ruta UNC y la firma SMB bajo el capó?

5

Con una gran cantidad de versiones de Windows sin parchear en un dominio de Active Directory, uno puede administrar un cliente cuando se conecta al controlador de dominio e inyectar una política de grupo que le otorga privilegios de administrador local al atacante ( enlace ). La solución es utilizar el endurecimiento de la ruta UNC para SYSVOL. ¿Qué hace esto exactamente? ¿Cómo se relaciona con la firma SMB? Presumiblemente, al final del día debe ser algo similar a los certificados x509. Si es así, ¿cuándo se intercambian las claves públicas?

    
pregunta Volker 20.08.2016 - 11:48
fuente

1 respuesta

5

El endurecimiento de la ruta UNC proviene de las vulnerabilidades JASBUG (MS15-011 y MS15-014).

Microsoft sugiere implementar soluciones a los problemas de SMB MITM que se encuentran fácilmente en Responder.py o herramientas y técnicas relacionadas (por ejemplo, CORE Impacket , Potato , Tater , SmashedPotato , etc. ) que incluyen pero no se limitan a la firma SMB. Más información disponible a través de estos recursos:

Lo básico: implementar la protección contra SMB MITM y la reproducción con la firma SMB siempre activa, la protección extendida para la autenticación (EPA) y forzar el uso de SMB 3 (o al menos SMB 2.5 con el adecuado RequireSecureNegotiate - SMB 3 en todas partes puede requerir Los clientes de Win10 y Win Server 2012 R2 con nivel de dominio y bosque de 2012 R2) aseguran que NBT, LLMNR, WPAD y DNS no crean otros escenarios de protocolo MITM.

Después de lo cual, JASBUG puede parchearse después de que se agregue la configuración de la ruta endurecida UNC. Tenga en cuenta que el parche no implica una solución, por lo que la persona que comentó en la pregunta original no comprende la vulnerabilidad de JASBUG (un hallazgo común).

    
respondido por el atdre 12.10.2016 - 20:04
fuente