Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности,
которая автоматизирует ключевые процессы управления:
контроль соответствия требованиям, управление рисками, учет активов, планирование работ,
задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
При атаках SMB Relay нарушитель внедряется между клиентом и сервером (атака человек по середине, mitm) используя особенности протокола NTLM (NTLMv2). Злоумышленник выбирает сервер, на котором хочет аутентифицироваться и ждет жертву, которая попытается зайти на его машину. Когда жертва подключается к нарушителю, нарушитель передает информацию о попытке аутентификации атакуемому серверу. Сервер генерирует запрос и отправляет его нарушителю. Нарушитель отправляет этот запрос клиенту. Клиент шифрует запрос с помощью корректного хэша и отправляет обратно нарушителю, после чего нарушитель передает ответ серверу и аутентифицируется. Подробнее об атаке.
Атаке подвержены протоколы NTLMv1 и NTLMv2 без подписи пакетов.
Атаке подвержены протоколы NTLMv1 и NTLMv2 без подписи пакетов.
БДУ ФСТЭК:
УБИ.069
Угроза неправомерных действий в каналах связи
Угроза заключается в возможности внесения нарушителем изменений в работу сетевых протоколов путём добавления или удаления данных...
УБИ.116
Угроза перехвата данных, передаваемых по вычислительной сети
Угроза заключается в возможности осуществления нарушителем несанкционированного доступа к сетевому трафику дискредитируемой вычи...
УБИ.181
Угроза перехвата одноразовых паролей в режиме реального времени
Угроза заключается в возможности получения нарушителем управления критическими операциями пользователя путём перехвата одноразов...
Техники ATT@CK:
T1557.001
Adversary-in-the-Middle:
LLMNR/NBT-NS Poisoning and SMB Relay
By responding to LLMNR/NBT-NS network traffic, adversaries may spoof an authoritative source for name resolution to force commun...
Связанные риски
| Риск | Угроза | Уязвимость | Тип актива | Связи | |
|---|---|---|---|---|---|
|
Раскрытие ключей (паролей) доступа
из-за
возможности атаки SMB Relay
в ОС Windows
Конфиденциальность
Повышение привилегий
Раскрытие информации
Подмена пользователя
|
Раскрытие ключей (паролей) доступа
Конфиденциальность
Повышение привилегий
Раскрытие информации
Подмена пользователя
|
Возможность атаки SMB Relay | 2 | ||
|
Несанкционированное сетевое подключение к ОС из локальной сети
из-за
возможности атаки SMB Relay
в ОС Windows
НСД
|
Несанкционированное сетевое подключение к ОС из локальной сети
НСД
|
Возможность атаки SMB Relay | 2 |