Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности,
которая автоматизирует ключевые процессы управления:
контроль соответствия требованиям, управление рисками, учет активов, планирование работ,
задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
из-за уязвимости
Возможность атаки SMB Relay
в Активе
ОС Windows
Описание угрозы
Подразумевается сетевой доступ в операционную среду, т.е. доступ к операционной системе, получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ.
Описание уязвимости
При атаках SMB Relay нарушитель внедряется между клиентом и сервером (атака человек по середине, mitm) используя особенности протокола NTLM (NTLMv2). Злоумышленник выбирает сервер, на котором хочет аутентифицироваться и ждет жертву, которая попытается зайти на его машину. Когда жертва подключается к нарушителю, нарушитель передает информацию о попытке аутентификации атакуемому серверу. Сервер генерирует запрос и отправляет его нарушителю. Нарушитель отправляет этот запрос клиенту. Клиент шифрует запрос с помощью корректного хэша и отправляет обратно нарушителю, после чего нарушитель передает ответ серверу и аутентифицируется. Подробнее об атаке.
Атаке подвержены протоколы NTLMv1 и NTLMv2 без подписи пакетов.
Атаке подвержены протоколы NTLMv1 и NTLMv2 без подписи пакетов.
Описание типа актива
Microsoft Windows любых версий
Область действия: Вся организация
Классификация
Иное:
НСД
?
Источники угрозы
Внешний нарушитель -
Низкий потенциал
?
Внутренний нарушитель -
Низкий потенциал
?
БДУ ФСТЭК:
УБИ.069
Угроза неправомерных действий в каналах связи
?
Угроза заключается в возможности внесения нарушителем изменений в работу сетевых протоколов путём добавления или удаления данных...
УБИ.078
Угроза несанкционированного доступа к защищаемым виртуальным машинам из виртуальной и (или) физической сети
?
Угроза заключается в возможности осуществления нарушителем деструктивного программного воздействия на виртуальные машины из вирт...
УБИ.116
Угроза перехвата данных, передаваемых по вычислительной сети
?
Угроза заключается в возможности осуществления нарушителем несанкционированного доступа к сетевому трафику дискредитируемой вычи...
УБИ.181
Угроза перехвата одноразовых паролей в режиме реального времени
?
Угроза заключается в возможности получения нарушителем управления критическими операциями пользователя путём перехвата одноразов...
Техники ATT@CK:
T1557.001
Adversary-in-the-Middle:
LLMNR/NBT-NS Poisoning and SMB Relay
By responding to LLMNR/NBT-NS network traffic, adversaries may spoof an authoritative source for name resolution to force commun...
Связанные защитные меры
| Название | Дата | Влияние | ||
|---|---|---|---|---|
|
Community
2
2 / 24
|
Включение подписи SMB пакетов
Разово
Вручную
Техническая
Превентивная
15.06.2021
|
15.06.2021 | 2 2 / 24 | |
|
Community
2
2 / 24
|
Перевод доменной аутентификации на Kerberos (отключение NTLM)
Разово
Вручную
Техническая
Превентивная
15.06.2021
|
15.06.2021 | 2 2 / 24 |