¿WebDAV intenta automáticamente conectarse de forma remota debido al espacio de nombres DFS?

Question

¿WebDAV intenta automáticamente conectarse de forma remota debido al espacio de nombres DFS?

#1 de Shane Andrie (1 votos)

1

Recientemente compré e instalé un WAF (después de mucho pedir).

Tengo un espacio de nombres DFS llamado \mycompany.com\ que se basa en mi nombre de dominio de Active Directory mycompany.com . El dominio de mi sitio web es mycompany.com

Los usuarios se asignan al espacio de nombres DFS \mycompany.com\ourfiles\etc\

Ahora mi WAF está informando de una revelación de ataque genérica de las IP que se originan en mi área geográfica circundante que apunta a mycompany.com\ourfiles\etc\ utilizando Microsoft-WebDAV-MiniRedir / 6.1.7601 (que es un WebDAV de Windows 7 si recuerdo) a través de HTTP. Supongo que de los usuarios que llevaron computadoras portátiles a casa.

A veces, la ruta de la carpeta que se muestra es muy específica, sin embargo, no es fuera de lo común para el acceso directo de alguien.

Mi pregunta es ¿cómo debo abordar esto? Sé que el WAF reportará casi cualquier cosa extraña. Puedo replicar fácilmente este informe al tratar de asignar manualmente una unidad de red fuera de mi red. \mycompany.com\files\etc\

Cuando intento usar un sistema unido a un dominio desde una WAN externa para intentar replicar este problema sin la asignación manual, no puedo. Además, WebDav o la autenticación de Windows no están instaladas en el servidor web.

Edit: Para aclaraciones, ¿hay algún problema de seguridad aquí? o es completamente benigno?

windows iis waf

pregunta Sarge 08.09.2015 - 21:07

fuente

1 respuesta

Lea otras preguntas en las etiquetas windows iis waf

¿Se usa el algoritmo para firmar definido por el certificado? Características de seguridad a través del estándar ISO 25023

score 1 · Answer 1

Creo que Win 7+ intentará conectarse automáticamente a un servicio WebDAV si tiene el enlace con el formato que tiene, pensando que el servicio está en un sistema remoto en algún lugar. (IE bajo una unidad asignada que haga algo como \\ example.com \ folder \ hará que MS busque servicios externos en ese dominio utilizando WebDAV)

Método 1

Si no tiene un servicio WebDAV para usuarios externos, simplemente filtre todo el tráfico de WebDAV. Deje que se registre y probablemente pueda reducir / desactivar el umbral de notificación.

Método 2: no recomendado

Creo que Windows tiene una forma de deshabilitar WebDAV en las computadoras portátiles. Esto puede invariablemente romper otra cosa, pero vale la pena investigar si su empresa no usa el servicio. (Esto creará un tren de quejas de usuarios si rompe algo que usa con frecuencia, relacionado con la compañía o no)

Problemas de seguridad

Si su empresa no confía en WebDAV para nada y bloquea todas las comunicaciones entrantes del tráfico de WebDAV, tendrá un impacto mínimo. No hay nada realmente apremiante acerca de los activadores de WebDAV que te hagan ir, OMG, ESTAMOS DESAPARECIDOS, según tu análisis inicial (creo que tienes razón al asumir que son falsos positivos). En este punto, es un punto de referencia para que usted lo vea, a menos que un ataque tenga un conocimiento activo de la estructura de su directorio, probar una solicitud aleatoria de WebDAV será bastante obvio incluso entre los falsos positivos.

En resumen, su advertencia previa se verá obstaculizada ligeramente, si se acostumbra a ver toneladas de falsos positivos.