Firma de mensajes deshabilitada (peligroso, pero predeterminado)

8

Durante los últimos años, he desarrollado un gran interés en Pruebas de penetración & Seguridad de la información . A lo largo de este tiempo, he adquirido (y acumulado) una gama de diferentes dispositivos con capacidades de red, principalmente, en un esfuerzo por aprender más sobre varias técnicas de auditoría de seguridad. A continuación se muestra un extracto de un escaneo de nmap de uno de estos dispositivos:

Host script results:
| smb-os-discovery: 
|   OS: Windows 10 Home 10240 (Windows 10 Home 6.3)
|   NetBIOS computer name: MARK
|   Workgroup: WORKGROUP
|_  System time: 2015-09-24T23:38:38-06:00
| smb-security-mode: 
|   Account that was used for smb scripts: <blank>
|   User-level authentication
|   SMB Security: Challenge/response passwords supported   
|_  Message signing disabled (dangerous, but default)
|_smbv2-enabled: Server supports SMBv2 protocol

Mi pregunta se refiere específicamente a la siguiente declaración:
Message signing disabled (dangerous, but default) .
¿Qué es la firma de mensajes? ¿Cuál es el peligro?

Cualquier ejemplo de explotaciones de trabajo sería apreciado.

    
pregunta tjt263 26.09.2015 - 09:57
fuente

1 respuesta

10

La firma de mensajes, en este contexto, se refiere a la firma SMB (Server Message Block).

El

Server Message Block (SMB) es un protocolo de red común de Windows "application-layer" , y la firma es una función que permite que las comunicaciones SMB sean digitalmente "firmadas" en el "nivel de paquete". La "firma" posterior proporciona un mecanismo mediante el cual un destinatario puede verificar la autenticidad de una fuente.

Por ejemplo, es importante que los controladores de dominio tengan habilitada la firma SMB porque SMB es el protocolo utilizado por los clientes para descargar información de la Política de grupo, y la firma SMB proporciona una manera de certificar que el cliente está recibiendo una Política de grupo genuina. / p>

La firma SMB es compatible con todas las versiones de Windows, pero solo está habilitada de forma predeterminada en los controladores de dominio.

Nmap te está haciendo saber que:

  1. la firma SMB está deshabilitada;
  2. Esta es la opción más peligrosa (o menos segura) (en lugar de tener habilitada la firma SMB);
  3. Esta es la configuración predeterminada para el sistema que está escaneando.
respondido por el user83426 26.09.2015 - 10:31
fuente

Lea otras preguntas en las etiquetas