информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Т.е. 30.04.03 23:01  Число просмотров: 2435
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
> Если верить MS там 3 возможных варианта :
> "always sign, never sign, or sign only if the other party
> requires it."
Там - это где? Я вот знаю, что это настраивается в политиках безопасности. Есть 4 параметра:
Digitally sign server communications (always)
Digitally sign server communications (if possible)
Digitally sign client communications (always)
Digitally sign client communications (if possible)

> Возможно третий вариант как раз для тех самых 9Х/МЕ?
Я так понимаю (в т.ч. после прочтения Hardening Guide к 2K), если будет включён if possible, то это то же самое, что и отключён (для нашего случая), потому как вроде бы ничто не мешает злонамеренному серверу притвориться SMB-клиентом, не умеющим signing.

> Кроме того, seclab@ce.aut.ac.ir сообщает:
> Points
> 1. The attacking machine gains a level of access as equal
> as the
> logged-in user privileges on the victim machine.
Это, видимо, в том случае, когда атака начинается с того, что интерактивный пользователь запрашивает ресурс на злонамеренном SMB-сервере.

> 2. The exploitation will fail, if the victim SMB ports
> (139/445) are
> closed, or the victim is behind a firewall.
Не, ну это понятно, что самый безопасный SMB - это выключенный SMB. Если бы я мог это сделать - я бы это сделал и не парился %)

> зы А вообще примечательно:
> Subject: Re: Authentication flaw in microsoft SMB protocol
> Date: Apr 19 2003 4:11PM
> Author: Dave Aitel <dave@immunitysec.com>
> "Also found and demonstrated by dildog at defcon 3 years
> ago. So don't
> hold your breath waiting for that patch."
> Т.е. 3 года прошло, а воз и ныне там-(
Может быть действительно тогда signing - реальное лекарство?

Я вот кстати находил на MS описание подобной уязвимости, довольно давнее. Там говорилось о m-o-m атаке на SMB. Но там что-то про групповые политики было - то ли применение, то ли модификация.

Неужели никто не тестил эксплоит?! откликнитесь!
<site updates>
Эксплоит для "Authentication flaw in Windows SMB protocol" 28.04.03 02:53  
Publisher: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
Эксплоит для "Authentication flaw in Windows SMB protocol"
http://www.nteam.ru http://www.nteam.ru/index.php?date=2003-04-26&id=275

Появился эксплоит, ломающий пароли для Windows 2000 (SP0 SP1 SP2 SP3) Windows XP (SP0 SP1). Учитывая привычку этих систем по умолчанию разделять все диски в скрытые администраторские ресурсы, ситуация получается совсем неканоническая. В качестве злонамеренного SMB сервера используется samba-2.2.8a. В общем, пока не поздно, делаем следующее:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters]
[DWORD] AutoShareServer=0
[DWORD] AutoShareWks=0


Полный текст
Эксплоит для "Authentication flaw in Windows SMB protocol" 28.04.03 11:34  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
Читал про это на securitylab - весьма "профессиональное" обсуждение.
Я так и не понял, спасают ли SMB Signing или параметр локальной политики "Дополнительные ограничения"?
Эксплоит для "Authentication flaw in Windows SMB protocol" 29.04.03 19:33  
Автор: JINN <Sergey> Статус: Elderman
<"чистая" ссылка>
> Читал про это на securitylab - весьма "профессиональное"
> обсуждение.
> Я так и не понял, спасают ли SMB Signing или параметр
> локальной политики "Дополнительные ограничения"?
http://www.securityfocus.com/archive/1/319494/2003-04-19/2003-04-25/2

Процитирую полностью, т.к. мнение последнего отвечающего пока никто не опроверг:

To: BugTraq
Subject: Re[2]: Authentication flaw in microsoft SMB protocol
Date: Apr 23 2003 2:09PM
Author: 3APA3A <3APA3A@SECURITY.NNOV.RU>
Message-ID: <73606585644.20030423180942@SECURITY.NNOV.RU>
In-Reply-To: <909EB55D24CCFD4D9ABABD1B9BD610C609F5DBD8@red-msg-06.redmond.corp.microsoft.com>

Dear Jesper Johansson,

This attack can not be prevented by NTLMv2, because in a same way
attacker can relay server's response. This kind of attack is possible
because of pass-through authentication. This attack may be prevented by
SMB signing, which is available since SP3.

Kerberos does not prevent this attack too, because Kerberos is not
mandatory. Attacker can initiate NTLM with both client and server.

3APA3A. MCSE. MCT.

--Tuesday, April 22, 2003, 1:41:49 AM, you wrote to bugtraq@securityfocus.com:
JJ> You don't need to wait. This is prevented with NTLM v.2, which shipped
JJ> with Windows NT 4.0 SP4 in October 1998. This type of attack is also
JJ> foiled with Kerberos, which is negotiated by default in a Windows 2000
JJ> or higher domain.

JJ> To learn more about using NTLM v.2 and Kerberos, refer to the Windows

JJ> Jesper M. Johansson
JJ> Security Program Manager
JJ> Microsoft Corporation


--
~/ZARAZA


Всё обсуждение здесь :"Authentication flaw in microsoft SMB protocol"
Т.е. 30.04.03 09:58  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
Включаем "Digitally sign server communications (always)" и "Digitally sign client communications (always)" для всего домена (воркстейшны и серверы) и дышим ровно?
Но тогда, видимо, придётся распрощаться со всеми 9х клиентами?
Т.е. 30.04.03 21:44  
Автор: JINN <Sergey> Статус: Elderman
<"чистая" ссылка>
> Включаем "Digitally sign server communications (always)" и
> "Digitally sign client communications (always)" для всего
> домена (воркстейшны и серверы) и дышим ровно?
> Но тогда, видимо, придётся распрощаться со всеми 9х
> клиентами?
Если верить MS там 3 возможных варианта :
"always sign, never sign, or sign only if the other party requires it."
Возможно третий вариант как раз для тех самых 9Х/МЕ?

Кроме того, seclab@ce.aut.ac.ir сообщает:
Points
1. The attacking machine gains a level of access as equal as the
logged-in user privileges on the victim machine.
2. The exploitation will fail, if the victim SMB ports (139/445) are
closed, or the victim is behind a firewall.

зы А вообще примечательно:
Subject: Re: Authentication flaw in microsoft SMB protocol
Date: Apr 19 2003 4:11PM
Author: Dave Aitel <dave@immunitysec.com>
"Also found and demonstrated by dildog at defcon 3 years ago. So don't
hold your breath waiting for that patch."
Т.е. 3 года прошло, а воз и ныне там-(
Т.е. 30.04.03 23:01  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
> Если верить MS там 3 возможных варианта :
> "always sign, never sign, or sign only if the other party
> requires it."
Там - это где? Я вот знаю, что это настраивается в политиках безопасности. Есть 4 параметра:
Digitally sign server communications (always)
Digitally sign server communications (if possible)
Digitally sign client communications (always)
Digitally sign client communications (if possible)

> Возможно третий вариант как раз для тех самых 9Х/МЕ?
Я так понимаю (в т.ч. после прочтения Hardening Guide к 2K), если будет включён if possible, то это то же самое, что и отключён (для нашего случая), потому как вроде бы ничто не мешает злонамеренному серверу притвориться SMB-клиентом, не умеющим signing.

> Кроме того, seclab@ce.aut.ac.ir сообщает:
> Points
> 1. The attacking machine gains a level of access as equal
> as the
> logged-in user privileges on the victim machine.
Это, видимо, в том случае, когда атака начинается с того, что интерактивный пользователь запрашивает ресурс на злонамеренном SMB-сервере.

> 2. The exploitation will fail, if the victim SMB ports
> (139/445) are
> closed, or the victim is behind a firewall.
Не, ну это понятно, что самый безопасный SMB - это выключенный SMB. Если бы я мог это сделать - я бы это сделал и не парился %)

> зы А вообще примечательно:
> Subject: Re: Authentication flaw in microsoft SMB protocol
> Date: Apr 19 2003 4:11PM
> Author: Dave Aitel <dave@immunitysec.com>
> "Also found and demonstrated by dildog at defcon 3 years
> ago. So don't
> hold your breath waiting for that patch."
> Т.е. 3 года прошло, а воз и ныне там-(
Может быть действительно тогда signing - реальное лекарство?

Я вот кстати находил на MS описание подобной уязвимости, довольно давнее. Там говорилось о m-o-m атаке на SMB. Но там что-то про групповые политики было - то ли применение, то ли модификация.

Неужели никто не тестил эксплоит?! откликнитесь!
говорят тестили 03.05.03 17:57  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
говорят тестили и он работает. см мессагу от McOff.

http://vovan.silvernet.ru/forum/topic.cgi?forum=13&topic=4
говорят тестили 03.05.03 21:14  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
> говорят тестили и он работает. см мессагу от McOff.
Ты имеешь в виду вот этот насыщенный информацией пост? :

Я после того как себя этим эксполитом с чужого компа поламал , так сразу всё и закрыл , спасибо за файлик Ж)


Вообще-то, вопрос не в том, работает ли эксплоит.
говорят помогло 05.05.03 17:43  
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 05.05.03 19:54  Количество правок: 1
<"чистая" ссылка>
>После установки Digitally sign server communications (alawys)и Digitally sign >client communications (always) на моём компе , эксполит не может >прорваться на С$ , т.д...
>Если ставить (if possible) то это не прокатывает , самба говорит что не >знает цифровой подписи Ж) (я так думаю)
(c) оттуда же
сенкс 06.05.03 10:39  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
угу
...Если ставить (if possible) то это не прокатывает ...
как и предполагалось :((

"всё плохо сделано, сплошная %опа, еда невкусная..." ((с) Масяня)
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach