Главное меню

Карточка риска

Куда я попал?

Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.

Подробнее

Угроза

Раскрытие ключей (паролей) доступа

из-за уязвимости

Возможность атаки SMB Relay

в Активе

ОС Windows

Описание уязвимости

При атаках SMB Relay нарушитель внедряется между клиентом и сервером (атака человек по середине, mitm) используя особенности протокола NTLM (NTLMv2). Злоумышленник выбирает сервер, на котором хочет аутентифицироваться и ждет жертву, которая попытается зайти на его машину. Когда жертва подключается к нарушителю, нарушитель передает информацию о попытке аутентификации атакуемому серверу. Сервер генерирует запрос и отправляет его нарушителю. Нарушитель отправляет этот запрос клиенту. Клиент шифрует запрос с помощью корректного хэша и отправляет обратно нарушителю, после чего нарушитель передает ответ серверу и аутентифицируется. Подробнее об атаке.
Атаке подвержены протоколы NTLMv1 и NTLMv2 без подписи пакетов.

Описание типа актива

Microsoft Windows любых версий

Объекты атаки Парольная информация Пароль

Классификация

КЦД: Конфиденциальность

STRIDE: Подмена пользователя Раскрытие информации Повышение привилегий

Источники угрозы

Внешний нарушитель - Низкий потенциал

Внутрений нарушитель - Низкий потенциал

Каталоги угроз

БДУ ФСТЭК:

УБИ.069 Угроза неправомерных действий в каналах связи

УБИ.116 Угроза перехвата данных, передаваемых по вычислительной сети

УБИ.181 Угроза перехвата одноразовых паролей в режиме реального времени

Техники ATT@CK:

T1557.001 Man-in-the-Middle: LLMNR/NBT-NS Poisoning and SMB Relay

Связанные защитные меры

	Название	Дата	Влияние
Community 2 1	Включение подписи SMB пакетов Разово Вручную Техническая Превентивная 15.06.2021	15.06.2021	2 1
Подписание SMB (server message block signing, SMB signing) это механизм безопасности в протоколе SMB, который также известен как подписи безопасности. Подписание SMB предназначено для повышения безопасности протокола SMB. По умолчанию в современных ОС Windows подписание пакетов включено. Но с целью повышения скорости работы сети или для обеспечения совместимости с устаревшим ПО подписание SMB может быть отключено. Необходимо принудительно через GPO включить подписание SMB пакетов на всех ПК и серверов. Так же необходимо включить подписание как входящих так и исходящих пакетов. Внимание: подписание SMB требует значительных системных ресурсов и может оказать негативное влияние на работоспособность инфраструктуры. Подробнее Настройка GPO: Конфигурация компьютера \ Политики \ Конфигурация Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности : Сетевой сервер Майкрософт: использовать цифровую подпись (всегда) - Включено Сетевой клиент Майкрософт: использовать цифровую подпись (всегда) - Включено
Community 2 1	Перевод доменной аутентификации на Kerberos (отключение NTLM) Разово Вручную Превентивная Техническая 15.06.2021	15.06.2021	2 1
Протоколы аутентификации NTLM v1 и NTLMv2 уязвимы к ряду атак. Необходимо отключить протоколы NTLM в доменной инфраструктуре перейдя на аутентификацию через протокол Kerberos. Частичной реализацией меры может являться отключение только протокола NTLMv1. Управление используемыми протоколами реализация через GPO. Групповые политики позволяют так же гибко осуществить переход с NTLM на Kerberos используя инструменты аудита и белых списков, разрешая протокол NTLM только для части серверов и клиентов. Подробнее о процессе отключения NTLM