Mitigación del respondedor

0

La Herramienta de respuesta puede capturar los hashes de netntlm de los clientes en una red de Microsoft AD ya sea utilizando LLMNR para responder a las preguntas "accidentalmente" por parte de los clientes respondiendo como servidores SMB inexistentes, o respondiendo a WPAD para insertarse como un servidor proxy local que puede requerir la autenticación de Windows para capturar los mismos hashes.

¿Se puede mitigar esto al requerir la firma de SMB por parte de los clientes en la red? es decir, ¿esto evitaría que el cliente envíe su respuesta al desafío de autenticación porque el desafío de autenticación no fue firmado?

A veces leo que la mitigación es deshabilitar LLMNR, sin embargo, me parece que lo mismo podría lograrse a través de la falsificación de ARP o mediante el envenenamiento de DNS (es decir, enviar una respuesta a los clientes porque está en una posición adecuada para ver las solicitudes), aunque esto se limitaría únicamente al segmento de red actual. ¿Esto es correcto?

    
pregunta SilverlightFox 05.12.2016 - 23:29
fuente

1 respuesta

1
  

¿Se puede mitigar esto al requerir la firma de SMB por parte de los clientes en el   ¿red? es decir, esto evitaría que el cliente envíe su respuesta   al desafío de autenticación porque el desafío de autenticación   no fue firmado?

No, de acuerdo con esto NCC artículo :

  

Tenga en cuenta que, si bien requiere una firma SMB, puede evitar la transmisión de NTLM   autenticación a un servidor SMB, no hace nada para evitar que SMB   o la autenticación NTLM HTTP se retransmite a un servidor HTTP. SMB   La firma tampoco impide la captura y el craqueo fuera de línea de la   Respuesta de desafío NTLM.

Las mitigaciones recomendadas son las siguientes:

  • Deshabilitar protocolos de transmisión
    • NetBIOS sobre TCP / IP
    • LLMNR
  • Segregación de red
  • Aplicar el principio de privilegio mínimo

Entonces, parece que en realidad no hay una manera sólida de evitar que los hashes sean MITM'd. Lo anterior reduce la probabilidad, pero no establece el riesgo en cero.

    
respondido por el SilverlightFox 07.12.2016 - 14:55
fuente

Lea otras preguntas en las etiquetas