Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Описание уязвимости

Злоумышленник может собирать учетные данные, вызывая или заставляя пользователя автоматически предоставлять аутентификационную информацию с помощью механизма, в котором он может перехватывать учетные данные, в том числе хеши и сессии.
Примерами приложений или служб с автоматической аутентификацией являются SMB  и Web Distributed Authoring and Versioning (WebDAV) в ОС Windows.
Когда ОС Windows пытается подключиться к ресурсу SMB, она автоматически пытается выполнить проверку подлинности и отправить учетные данные текущего пользователя в удаленную систему.
WebDAV также обычно используется ОС Windows в качестве протокола резервного соединения при блокировке или сбое SMB. WebDAV является расширением HTTP и обычно работает через TCP-порты 80 и 443.
Злоумышленник может воспользоваться этим поведением, чтобы получить доступ к хэшам учетных записей пользователей с помощью принудительной аутентификации SMB/WebDAV. Когда пользователь обращается к ненадежному ресурсу, ОС пытается выполнить аутентификацию и отправить информацию, включая хэшированные учетные данные пользователя, через SMB на сервер, контролируемый злоумышленником. Имея доступ к хэшу учетных данных, злоумышленник может попытаться получить доступ к учетным данным.
Пример атаки через SCF ярлыки и SMB https://pentestlab.blog/2017/12/13/smb-share-scf-file-attacks

Описание типа актива

Microsoft Windows любых версий
Классификация
КЦД: Конфиденциальность ? Конфиденциальность / confidentialityCвойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов.
STRIDE: Подмена пользователя ? Подмена пользователя / Спуфинг / Spoofing of user identityНезаконный доступ к идентификационным и аутентификационным данным пользователя и их использование. Защ... Раскрытие информации ? Раскрытие информации / Information disclosureРаскрытие сведений лицам которые к этой информации не должны иметь доступа. Защищаемое свойство - конфиденциальност... Повышение привилегий ? Повышение привилегий / Elevation of privilegeПредоставление пользователю прав и полномочий больших чем ему предназначено. В том числе в результате нарушений дей...
Источники угрозы
Внешний нарушитель - Низкий потенциал ? Внешний нарушительНаходящийся вне информационной системы на момент начала реализации угрозы. Для реализации угроз в информационной системе внешний нарушитель д...
Внутрений нарушитель - Низкий потенциал ? Внутрений нарушительПод внутренним нарушителем понимают нарушителя, находящегося внутри информационной системы на момент начала реализации угрозы. К внутренним...

Связанные защитные меры

Название Дата Влияние
Community
1 9 / 27
Блокировка доступа к несанкционированным сетевым папкам в локальной сети
Постоянно Автоматически Техническая Превентивная
12.11.2021
12.11.2021 1 9 / 27
На уровне источника (ПК и серверы) нужно ограничить исходящие соединения к сетевым папкам (SMB шары), оставив доступ только к списку легитимных сетевых папок.
Цель: 
  • исключить канал утечки и горизонтального перемещения в рамках локальной сети;
  • снизить возможность загрузки ВПО с несанкционированной SMB шары;
  • противодействие атакам на перехват сессии и кражу паролей (SCF File Attacks).
Варианты реализации:
  • Локальный межсетевой экран
  • DLP с функцией контроля SMB протокола, например КИБ SearchInform