Cosa impedisce il verificarsi di questo dirottamento di sessione? (Esempio SMB / CIFS)

3

SMB / CIFS (condivisione file, ambiente Windows)

Capisco che quando un client si connette a un server esiste un sistema di sfida / risposta in atto. Tuttavia, una volta collegato il client, la "connessione" viene autenticata. A questo punto, non è possibile che un man-in-the-middle (come) [o piuttosto un livello di rete] attacchi lo spoofing dell'IP della sessione connessa e la porta invii comandi arbitrari.

Il server considera "IP: port" autenticato, o c'è dell'altro?

    
posta Nathan 16.06.2014 - 21:23
fonte

2 risposte

2

Se la connessione non è crittografata, nulla impedisce questo, solo una mancanza di toolkit generico. Metasploit può gestirlo come può SMBRelay (mai usato quest'ultimo). Ad esempio, il carico utile di metasploit può intercettare (inoltrare) l'autenticazione, quindi eseguire codice arbitrario sul server.

link

Forse ho frainteso la tua domanda. Non sono a conoscenza di qualcosa che modifica i file al volo, ma non vedo perché sarebbe impossibile.

In aggiunta: la crittografia aiuterà solo qui se il server è firmato, altrimenti l'utente non sarà a conoscenza se si connettono al server corretto o malizioso.

    
risposta data 18.06.2014 - 18:05
fonte
1

I pacchetti SMB possono essere firmato per impedirlo. È possibile garantire la sicurezza configurando Windows per richiedere la firma (e forse NTLMv2) utilizzando i Criteri di gruppo.

Per impostazione predefinita, Windows utilizza solo la firma per proteggere la comunicazione con il controller di dominio.

    
risposta data 27.06.2014 - 15:19
fonte

Leggi altre domande sui tag