Атака + защита от SMB Relay

Принцип атаки прост: нарушитель слушает сетевой трафик и ждет, когда один из узлов инициирует подключение к другому узлу. Как только такой запрос обнаружен, нарушитель реализует атаку «человек посередине» (например, LLMNR Spoofing): перехватывает запрос на аутентификацию от обратившегося узла и передает его на атакуемый сервер.

Этот сервер возвращает ответ — просьбу зашифровать некоторое сообщение с помощью своего хеша, после чего перенаправляет его на узел, запросивший подключение. Следом происходит перенаправление этого зашифрованного сообщения. Так как сообщение было зашифровано корректным хешем, атакуемый сервер отправит нарушителю разрешение на аутентификацию.



Злоумышленник аутентифицируется на сервере, а узлу, запросившему аутентификацию, отправит ответ об ошибке подключения. Нарушитель может реализовать такую атаку и в отношении того же ресурса, который отправляет запрос на подключение.

Эта атака известна давно, и компания Microsoft еще в 2008 году выпустила бюллетень безопасности MS08-068 и соответствующий патч для Windows. На системе с патчем нарушитель не сможет провести атаку на тот же компьютер, если он инициирует подключение. Но возможность атаковать с помощью SMB Relay другие узлы в домене останется, если на них не реализована подпись SMB-пакетов — SMB Signing.

Простоту реализации атаки покажем на примере одного из наших пентестов. Анализируя трафик сети, мы выявили, что один из компьютеров периодически запрашивает адрес другого узла, после чего шлет на него HTTP-запрос с доменной учетной записью. С помощью утилиты Responder мы успешно атаковали выбранный нами узел сети, отправив запрос на подключение с того узла, который изначально инициировал запрос.



 

На атакованном сервере возможно выполнение команд с привилегиями того пользователя, чьи аутентификационные данные были перехвачены в рамках SMB Relay (в нашем случае привилегии оказались максимальными). В результате был получен полный контроль над сервером.

 

Вероятность реализации подобной атаки высока. В крупных сетевых инфраструктурах часто используются автоматические системы для инвентаризации ресурсов, установки обновлений, резервного копирования и других задач. Такие системы ежедневно подключаются к ресурсам домена и могут использоваться нарушителями для атак.

Защита от атаки SMB Relay

Для защиты от атаки необходимо реализовать подписывание SMB-пакетов (SMB Signing) на всех узлах сети, а также отключить протоколы NBNS и LLMNR.

Кроме того, необходимо регулярно устанавливать актуальные обновления безопасности ОС.

 

Источник: spy-soft.net

 

RuCoreNET - лучшее для вас!


Поделись статьей с друзьями


273 просмотров


0 0 vote
Рейтинг статьи
Подписаться
Уведомление о
guest
0 Комментарий
Inline Feedbacks
View all comments


Do NOT follow this link or you will be banned from the site!
0
Would love your thoughts, please comment.x
()
x

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: