Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Описание уязвимости

При атаках SMB Relay нарушитель внедряется между клиентом и сервером (атака человек по середине, mitm) используя особенности протокола NTLM (NTLMv2). Злоумышленник выбирает сервер, на котором хочет аутентифицироваться и ждет жертву, которая попытается зайти на его машину. Когда жертва подключается к нарушителю, нарушитель передает информацию о попытке аутентификации атакуемому серверу. Сервер генерирует запрос и отправляет его нарушителю. Нарушитель отправляет этот запрос клиенту. Клиент шифрует запрос с помощью корректного хэша и отправляет обратно нарушителю, после чего нарушитель передает ответ серверу и аутентифицируется. Подробнее об атаке.
Атаке подвержены протоколы NTLMv1 и NTLMv2 без подписи пакетов.

Описание типа актива

Microsoft Windows любых версий
Классификация
КЦД: Конфиденциальность ? Конфиденциальность / confidentiality
Cвойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов.
STRIDE: Подмена пользователя ? Подмена пользователя / Спуфинг / Spoofing of user identity
Незаконный доступ к идентификационным и аутентификационным данным пользователя и их использование. Защищаемое свойство - аутентичность/аутентификация.
Раскрытие информации ? Раскрытие информации / Information disclosure
Раскрытие сведений лицам которые к этой информации не должны иметь доступа. Защищаемое свойство – конфиденциальность.
Повышение привилегий ? Повышение привилегий / Elevation of privilege
Предоставление пользователю прав и полномочий больших чем ему предназначено. В том числе в результате нарушений действующих защитных механизмов. Защищаемое свойство – авторизация.
Источники угрозы
Внешний нарушитель - Низкий потенциал ? Внешний нарушитель
Находящийся вне информационной системы на момент начала реализации угрозы.
Для реализации угроз в информационной системе внешний нарушитель должен тем или иным способом получить доступ к процессам, проходящим в информационной системе.
Внутрений нарушитель - Низкий потенциал ? Внутрений нарушитель
Под внутренним нарушителем понимают нарушителя, находящегося внутри информационной системы на момент начала реализации угрозы.
К внутренним нарушителям относят инсайдеров, не смотря на то, что они могут выполнять инструкции лиц, находящихся вне информационной системы.

Каталоги угроз

Связанные защитные меры

Название Дата Влияние
Community
2 1
Включение подписи SMB пакетов
Разово Вручную Техническая Превентивная
15.06.2021
15.06.2021 2 1
Подписание SMB (server message block signing, SMB signing) это механизм безопасности в протоколе SMB, который также известен как подписи безопасности. Подписание SMB предназначено для повышения безопасности протокола SMB.
По умолчанию в современных ОС Windows подписание пакетов включено. Но с целью повышения скорости работы сети или для обеспечения совместимости с устаревшим ПО подписание SMB может быть отключено.
Необходимо принудительно через GPO включить подписание SMB пакетов на всех ПК и серверов. Так же необходимо включить подписание как входящих так и исходящих пакетов.
Внимание: подписание SMB требует значительных системных ресурсов и может оказать негативное влияние на работоспособность инфраструктуры.
Подробнее
Настройка GPO: 
Конфигурация компьютера \ Политики \ Конфигурация Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности :
   Сетевой сервер Майкрософт: использовать цифровую подпись (всегда) - Включено
   Сетевой клиент Майкрософт: использовать цифровую подпись (всегда) - Включено
Community
2 1
Перевод доменной аутентификации на Kerberos (отключение NTLM)
Разово Вручную Превентивная Техническая
15.06.2021
15.06.2021 2 1
Протоколы аутентификации NTLM v1 и NTLMv2 уязвимы к ряду атак.
Необходимо отключить протоколы NTLM в доменной инфраструктуре перейдя на аутентификацию через протокол Kerberos.
Частичной реализацией меры может являться отключение только протокола NTLMv1.
Управление используемыми протоколами реализация через GPO. Групповые политики позволяют так же гибко осуществить переход с NTLM на Kerberos используя инструменты аудита и белых списков, разрешая протокол NTLM только для части серверов и клиентов.
Подробнее о процессе отключения NTLM