Registro di sistema remoto consente di bypassare l'applicazione 2FA con 1FA

Naviga le tue risposte
2

Alcune organizzazioni configureranno i propri sistemi Windows per richiedere Smart Card per tutti gli account di accesso, come parte di un'implementazione dell'autenticazione a due fattori. Tuttavia, questo può essere facilmente aggirato senza autenticazione a due fattori in determinate condizioni.

Il bypass richiede credenziali di amministratore (nome utente e password solo - smart card e PIN non richiesti) e accesso fisico al sistema o accesso al servizio di registro remoto del sistema.

Con l'accesso fisico al sistema, puoi fare molto di più che semplicemente disabilitare l'applicazione 2FA. Quindi questo è abbastanza poco preoccupante. L'angolo del registro remoto, d'altra parte, sembra essere un'interruzione significativa nel sistema.

L'accesso all'applicazione della Smart Card è gestito dal seguente elemento del Registro di sistema:

  • Chiave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
  • Valore: scforceoption
  • Impostazioni: 0 per disattivato, 1 per abilitato.

Il registro remoto è comunemente usato negli ambienti aziendali per facilitare i servizi di monitoraggio e gestione centralizzati. Tuttavia, l'accesso al servizio Registro di sistema remoto richiede solo l'autenticazione a fattore singolo con nome utente e password. Dato:

  • Il Registro di sistema remoto è abilitato sul computer di destinazione.
  • Niente tra il computer locale e la destinazione sta bloccando il Registro di sistema remoto.
  • Hai effettuato l'accesso localmente con un account nello stesso dominio, che dispone dei diritti di Adminsitrator sul computer di destinazione.

Il seguente comando ti consentirà facilmente di disabilitare l'applicazione della Smart Card su un target remoto, senza dover utilizzare una Smart Card per autenticarti: 

reg add \[TargetHostName]\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v scforceoption /t REG_DWORD /d 0

Con un uso intelligente di runas , non è nemmeno necessario effettuare il login localmente con l'account Administrator o utilizzare un sistema sullo stesso dominio. Finché disponi del nome utente e della password e puoi accedere al servizio Registro di sistema remoto, è possibile un bypass remoto dei criteri 2FA senza utilizzare 2FA.

Sebbene questa non sia di gran lunga la vulnerabilità più critica al mondo, sembra essere un punto debole nella politica di autenticazione a due fattori di Windows. Ci sono opzioni di configurazione che possono essere utilizzate per compensare questo - ad es .: attivare 2FA per il Registro di sistema remoto - senza dover effettivamente disabilitare il Registro di sistema remoto?

    
posta Iszi 11.12.2014 - 22:50
fonte

1 risposta

0

È progettato da Kerberos - verifica la Smart-Card all'accesso iniziale solo per gli accessi interattivi. Registro di sistema remoto: non è un accesso interattivo.

Sì, esistono soluzioni di terze parti per abilitare un controllo 2FA strong su un livello basso (livello LSA a livello DC) utilizzando i plug-in LSA del pacchetto di subautenticazione - Authlite (esegue l'hacking LSA al volo) e Rohos Logon.

    
risposta data 05.01.2019 - 12:27
fonte

Leggi altre domande sui tag

In che modo disabilitare l'accesso dopo la conferma rende l'idea più sicura? Domanda riguardante RFC7296 (IKEv2) PRF +