¿Cuándo las herramientas Ps envían contraseñas de texto simple y cómo puedo demostrar esto?

5

Las herramientas Ps de Mark Russinovich son utilidades de administración remota muy prácticas. Sin embargo, todos vienen con una advertencia grande .

  

Tenga en cuenta que la contraseña se transmite en texto claro al sistema remoto.

enlace

¿Ocurre esto solo cuando se proporciona una credencial a la herramienta, como cuando la cuenta que se usa localmente no tiene privilegios en el sistema remoto? ¿O es que algún tipo de autenticador (contraseña, token o hash) siempre se envía sin cifrar? Si inicié sesión localmente con una cuenta que tiene los privilegios necesarios en el sistema remoto (y, por lo tanto, no tengo que proporcionar mi contraseña a la herramienta Ps), ¿mis credenciales siguen en riesgo?

¿Cómo puedo demostrar esto a mí mismo oa alguien más, como con Wireshark? ¿Qué filtros puedo usar para aislar los paquetes críticos y qué propiedades deben mostrarse?

    
pregunta Iszi 09.08.2012 - 18:57
fuente

3 respuestas

3

Creo que la mayoría de las respuestas que busca están en el análisis de Mike Pilkington presentado en SANS Forensics and IR Summit, junio de 2011:

Publicaciones de blog: enlace y enlace

PDF de las diapositivas de presentación: enlace

Las publicaciones y presentaciones del blog analizan las tecnologías en detalle, explican su metodología de investigación y recomiendan formas más seguras de usar las herramientas.

El tema general es utilizar métodos de autenticación alternativos para evitar la exposición de las contraseñas a la red, pero con mucho cuidado para que estas cuentas estén aisladas del peligro del malware en el sistema sospechoso.

En la publicación del blog DFIR anterior, Mike dice: "Primero, hay una solución sencilla que puede emplear con PsExec para evitar enviar su contraseña en texto simple. El truco es montar primero el IPC $ $ de la computadora remota y luego usar PsExec. Jean-Baptiste Marchand ha escrito un excelente artículo sobre esta técnica, así como varios otros consejos de administración remota ". Enlace a un artículo detallado por JBM de 2005: enlace

hth, adric

    
respondido por el adric 09.08.2012 - 22:48
fuente
1

La versión de PSExec lanzada en mayo de 2014, versión 2.1, cierra esta brecha de seguridad cifrando todas las comunicaciones:

enlace

Puedes obtener la versión segura aquí: enlace

    
respondido por el Lizz 18.02.2015 - 08:18
fuente
0

Los filtros en el software de captura de paquetes ordenarán fácilmente los datos que necesita.

Filtrar por:

  • dirección IP de envío
  • dirección IP receptora
  • Protocolo
  • número de puerto

Desde allí podrá encontrar si la información se está enviando en texto claro.

    
respondido por el ponsfonze 09.08.2012 - 22:51
fuente

Lea otras preguntas en las etiquetas