¿Cómo esta configuración mitiga un ataque de "escalada de privilegios por robo de credenciales"?
La respuesta a la pregunta depende de los detalles precisos de cómo funciona la configuración de Deny access to this computer from the network
. Tenemos que entender exactamente qué hace esta configuración antes de poder decir que es útil para mitigar una vulnerabilidad potencial.
¿Qué hace esta configuración?
Esta configuración es un "acceso denegado" forzado para conexiones de red SMB remotas, incluso si las conexiones se permiten por otros medios. Es similar a una entrada "Denegar" en una Lista de control de acceso y se evalúa antes de Allow access to this computer from the network
(al igual que con las listas de control de acceso en Windows). Además, es importante comprender que esta configuración no se aplica a las conexiones RDP. Dos ejemplos comunes de conexiones SMB son el comando "Uso de red" y los complementos de MMC, como la herramienta Visor de eventos.
¿Cuál es el riesgo de las conexiones SMB remotas?
Las conexiones SMB remotas no exponen las credenciales en un host remoto. Por lo tanto, esto significa que si me conecto a un sistema comprometido con una cuenta privilegiada utilizando solo una conexión SMB remota (por ejemplo, un complemento MMC), mis credenciales de cuenta privilegiada no están expuestas en el sistema comprometido. / p>
¿Cómo esta configuración mitiga la amenaza de robo de credenciales?
Las conexiones SMB remotas no exponen las credenciales, por lo que no existe amenaza de robo de credenciales. Por lo tanto, la configuración Deny access to this computer from the network
no es necesaria para mitigar esta amenaza.
¿Por qué se sugiere esta configuración como remediación para evitar posibles robos de credenciales?
Parece que hay una buena cantidad de malentendidos con respecto a lo que hace Deny access to this computer from the network
. Comprendido correctamente, esta configuración no es necesaria para mitigar el robo de credenciales porque las credenciales no están expuestas desde las conexiones SMB remotas.
Explicación a modo de analogía
Supongamos que hay una joven llamada Emilia que ha escuchado que hay una tienda de bolsos que lleva un bolso particular que ella quiere comprar. La tienda está en una parte de la ciudad conocida por un grupo de ladrones que roban sigilosamente las tarjetas de crédito de las personas sin su conocimiento, por lo que la tienda ha intentado reducir algunos precios para aumentar el negocio. Esto sucedió en los días previos a Internet y los sitios web, y ella escucha un comercial en la radio que tienen una bolsa en particular que desea comprar.
Ella quiere verificar el precio por sí misma, por lo que tiene dos opciones: 1) Ir a la tienda y arriesgarse a que le roben su tarjeta de crédito, o 2) llamar a la tienda por teléfono y verificar el precio. (Ella es cuidadosa y se niega a dar su número de tarjeta de crédito por teléfono).
¿Cuál es el riesgo de que le roben el número de su tarjeta de crédito si no conduce físicamente a la tienda de bolsos? Por supuesto, no hay riesgo, ya que su tarjeta de crédito nunca está físicamente allí para ser robada. [Conexión SMB remota: las credenciales no están expuestas] Si ella conduce a la tienda, existe el riesgo de que los ladrones inteligentes le roben su tarjeta de crédito. [Inicio de sesión interactivo = posible robo de credenciales]
En otras palabras, esta pregunta es: si Emilia solo llama a la tienda por teléfono y no da su número de tarjeta de crédito por teléfono, ¿cuál es el riesgo de su crédito? ¿Número de tarjeta que le roban? La respuesta, por supuesto, es que no hay riesgo en ese caso.
Política de procesos frente a política técnica
Parece que DISA recomienda esta configuración para ayudar a las organizaciones a hacer cumplir una buena política de proceso. Esta configuración puede ser útil en ese contexto para evitar que los miembros de Domain Admins
se conecten a computadoras remotas utilizando conexiones SMB y busquen otros medios administrativos. Sin embargo, la pregunta se refiere a los detalles técnicos de esta configuración, no a sus procesos . En este momento, parece que la recomendación DISA está dando una descripción técnica incorrecta de esta recomendación, cuando en realidad deberían proporcionar una recomendación de proceso válida.