web-dev-qa-db-ja.com

無効になっているメッセージ署名(危険ですが、デフォルトです)

ここ数年、私は侵入テスト情報セキュリティ。この間、主に、さまざまなセキュリティ監査手法についてさらに学ぶために、ネットワーク機能を備えたさまざまなデバイスを取得(および蓄積)してきました。以下は、そのようなデバイスのnmapスキャンの抜粋です。


_Host script results:
| smb-os-discovery: 
|   OS: Windows 10 Home 10240 (Windows 10 Home 6.3)
|   NetBIOS computer name: MARK
|   Workgroup: WORKGROUP
|_  System time: 2015-09-24T23:38:38-06:00
| smb-security-mode: 
|   Account that was used for smb scripts: <blank>
|   User-level authentication
|   SMB Security: Challenge/response passwords supported   
|_  Message signing disabled (dangerous, but default)
|_smbv2-enabled: Server supports SMBv2 protocol
_

私の質問は、具体的には次のステートメントに関するものです。
Message signing disabled (dangerous, but default)
メッセージ署名とは;危険は何ですか?

機能するエクスプロイトの例をいただければ幸いです。

8
voices

この文脈でのメッセージ署名は、SMB(サーバーメッセージブロック)署名を指します。

サーバーメッセージブロック(SMB)は一般的なWindows "application-layer"ネットワークプロトコルであり、署名はSMB通信をデジタル化することを可能にする機能です"signed" at "packet-level"。に続く"signature"は、受信者がソースの信頼性を確認できるメカニズムを提供します。

たとえば、SMB署名が有効になっていることはドメインコントローラにとって重要ですSMBはクライアントがグループポリシー情報をダウンロードするために使用するプロトコルであり、SMB=署名は、クライアントが本物のグループポリシーを受け取っていることを証明する方法を提供します。

SMB署名はすべてのバージョンのWindowsでサポートされていますが、ドメインコントローラーではデフォルトでのみ有効になっています。

Nmapはあなたにそれを知らせています:

  1. SMB署名は無効です。
  2. これは、(SMB署名を有効にするのとは対照的に)より危険な、または安全性が低い)オプションです。
  3. これは、スキャンするシステムのデフォルト設定です。
11
user83426