無効になっているメッセージ署名(危険ですが、デフォルトです)
ここ数年、私は侵入テスト&情報セキュリティ。この間、主に、さまざまなセキュリティ監査手法についてさらに学ぶために、ネットワーク機能を備えたさまざまなデバイスを取得(および蓄積)してきました。以下は、そのようなデバイスのnmapスキャンの抜粋です。
_Host script results:
| smb-os-discovery:
| OS: Windows 10 Home 10240 (Windows 10 Home 6.3)
| NetBIOS computer name: MARK
| Workgroup: WORKGROUP
|_ System time: 2015-09-24T23:38:38-06:00
| smb-security-mode:
| Account that was used for smb scripts: <blank>
| User-level authentication
| SMB Security: Challenge/response passwords supported
|_ Message signing disabled (dangerous, but default)
|_smbv2-enabled: Server supports SMBv2 protocol
_私の質問は、具体的には次のステートメントに関するものです。Message signing disabled (dangerous, but default)。
メッセージ署名とは;危険は何ですか?
機能するエクスプロイトの例をいただければ幸いです。
この文脈でのメッセージ署名は、SMB(サーバーメッセージブロック)署名を指します。
サーバーメッセージブロック(SMB)は一般的なWindows "application-layer"ネットワークプロトコルであり、署名はSMB通信をデジタル化することを可能にする機能です"signed" at "packet-level"。に続く"signature"は、受信者がソースの信頼性を確認できるメカニズムを提供します。
たとえば、SMB署名が有効になっていることはドメインコントローラにとって重要ですSMBはクライアントがグループポリシー情報をダウンロードするために使用するプロトコルであり、SMB=署名は、クライアントが本物のグループポリシーを受け取っていることを証明する方法を提供します。
SMB署名はすべてのバージョンのWindowsでサポートされていますが、ドメインコントローラーではデフォルトでのみ有効になっています。
Nmapはあなたにそれを知らせています:
- SMB署名は無効です。
- これは、(SMB署名を有効にするのとは対照的に)より危険な、または安全性が低い)オプションです。
- これは、スキャンするシステムのデフォルト設定です。