Mitigazione del risponditore

0

Strumento di risposta può prendere gli hash netntlm dei client su una rete Microsoft AD utilizzando LLMNR per rispondere alle domande "accidentalmente" fatte dai client rispondendo come server SMB altrimenti inesistenti o rispondendo a WPAD per inserirsi come server proxy locale che può richiedere l'autenticazione di Windows per prelevare gli stessi hash.

Questo può essere mitigato richiedendo la firma SMB da parte dei client sulla rete? Ciò impedirà al client di inviare la sua risposta alla richiesta di autenticazione perché la richiesta di autenticazione non è stata firmata?

A volte leggo che la mitigazione è quella di disabilitare LLMNR, tuttavia mi sembra che lo stesso potrebbe essere ottenuto tramite spoofing ARP o avvelenamento DNS (ad esempio inviando una risposta ai client perché si è opportunamente posizionati per visualizzare le richieste), anche se questo sarebbe limitato all'attuale segmento di rete. È corretto?

    
posta SilverlightFox 05.12.2016 - 23:29
fonte

1 risposta

1

Can this be mitigated by requiring SMB signing by clients on the network? i.e. Would this prevent the client from sending its response to the authentication challenge because the authentication challenge wasn't signed?

No, secondo questo NCC articolo :

Note that while requiring SMB signing can prevent the relaying of NTLM authentication to an SMB server, it does nothing to prevent either SMB or HTTP NTLM authentication from being relayed to an HTTP server. SMB signing also does not prevent the capture and offline cracking of the NTLM challenge response.

Le mitigazioni consigliate sono le seguenti:

  • Disabilita i protocolli di trasmissione
    • NetBIOS su TCP / IP
    • LLMNR
  • Segregazione di rete
  • Applica il principio del privilegio minimo

Quindi sembra che non ci sia in realtà un modo solido per impedire agli hash di essere MITM. Quanto sopra riduce la probabilità, ma non imposta il rischio a zero.

    
risposta data 07.12.2016 - 14:55
fonte