Firma dei messaggi disabilitata (pericolosa, ma predefinita)

8

Negli ultimi due anni, ho sviluppato un interesse piuttosto appassionato per Test di penetrazione & Sicurezza delle informazioni . Per tutto questo tempo, ho acquisito (e accumulato) una gamma di dispositivi diversi con funzionalità di rete, principalmente nello sforzo di imparare di più sulle varie tecniche di controllo della sicurezza. Di seguito è riportato un estratto di una scansione nmap di uno di questi dispositivi:

Host script results:
| smb-os-discovery: 
|   OS: Windows 10 Home 10240 (Windows 10 Home 6.3)
|   NetBIOS computer name: MARK
|   Workgroup: WORKGROUP
|_  System time: 2015-09-24T23:38:38-06:00
| smb-security-mode: 
|   Account that was used for smb scripts: <blank>
|   User-level authentication
|   SMB Security: Challenge/response passwords supported   
|_  Message signing disabled (dangerous, but default)
|_smbv2-enabled: Server supports SMBv2 protocol

La mia domanda riguarda specificamente la seguente dichiarazione:
Message signing disabled (dangerous, but default) .
Che cos'è la firma del messaggio; qual è il pericolo?

Qualsiasi esempio di exploit di lavoro sarebbe apprezzato.

    
posta tjt263 26.09.2015 - 09:57
fonte

1 risposta

10

La firma dei messaggi, in questo contesto, fa riferimento alla firma SMB (Server Message Block).

Server Message Block (SMB) è un comune protocollo di rete Windows "application-layer" e la firma è una funzionalità che consente alle comunicazioni SMB di essere "firmate" digitalmente a "a livello di pacchetto". La successiva "firma" fornisce un meccanismo tramite il quale un destinatario può verificare l'autenticità di una fonte.

Ad esempio, è importante che i controller di dominio abbiano la firma SMB abilitata perché SMB è il protocollo utilizzato dai client per scaricare le informazioni sui Criteri di gruppo e la firma SMB fornisce un modo per certificare che il client riceve un criterio di gruppo autentico.

La firma SMB è supportata su tutte le versioni di Windows, ma è abilitata solo per impostazione predefinita su Domain Controller.

Nmap ti sta dicendo che:

  1. La firma SMB è disabilitata;
  2. Questa è l'opzione più pericolosa - o meno sicura - (al contrario di avere la firma SMB abilitata);
  3. Questa è l'impostazione predefinita per il sistema che stai scansionando.
risposta data 26.09.2015 - 10:31
fonte

Leggi altre domande sui tag