Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | | | | | |
сенкс 06.05.03 10:39 Число просмотров: 1362
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
угу
...Если ставить (if possible) то это не прокатывает ...
как и предполагалось :((
"всё плохо сделано, сплошная %опа, еда невкусная..." ((с) Масяня)
|
<site updates>
|
Эксплоит для "Authentication flaw in Windows SMB protocol" 28.04.03 02:53
Publisher: Killer{R} <Dmitry> Статус: Elderman
|
Эксплоит для "Authentication flaw in Windows SMB protocol" http://www.nteam.ru http://www.nteam.ru/index.php?date=2003-04-26&id=275
Появился эксплоит, ломающий пароли для Windows 2000 (SP0 SP1 SP2 SP3) Windows XP (SP0 SP1). Учитывая привычку этих систем по умолчанию разделять все диски в скрытые администраторские ресурсы, ситуация получается совсем неканоническая. В качестве злонамеренного SMB сервера используется samba-2.2.8a. В общем, пока не поздно, делаем следующее:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters]
[DWORD] AutoShareServer=0
[DWORD] AutoShareWks=0
Полный текст
|
|
Эксплоит для "Authentication flaw in Windows SMB protocol" 28.04.03 11:34
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
Читал про это на securitylab - весьма "профессиональное" обсуждение.
Я так и не понял, спасают ли SMB Signing или параметр локальной политики "Дополнительные ограничения"?
|
| |
Эксплоит для "Authentication flaw in Windows SMB protocol" 29.04.03 19:33
Автор: JINN <Sergey> Статус: Elderman
|
> Читал про это на securitylab - весьма "профессиональное" > обсуждение. > Я так и не понял, спасают ли SMB Signing или параметр > локальной политики "Дополнительные ограничения"? http://www.securityfocus.com/archive/1/319494/2003-04-19/2003-04-25/2
Процитирую полностью, т.к. мнение последнего отвечающего пока никто не опроверг:
To: BugTraq
Subject: Re[2]: Authentication flaw in microsoft SMB protocol
Date: Apr 23 2003 2:09PM
Author: 3APA3A <3APA3A@SECURITY.NNOV.RU>
Message-ID: <73606585644.20030423180942@SECURITY.NNOV.RU>
In-Reply-To: <909EB55D24CCFD4D9ABABD1B9BD610C609F5DBD8@red-msg-06.redmond.corp.microsoft.com>
Dear Jesper Johansson,
This attack can not be prevented by NTLMv2, because in a same way
attacker can relay server's response. This kind of attack is possible
because of pass-through authentication. This attack may be prevented by
SMB signing, which is available since SP3.
Kerberos does not prevent this attack too, because Kerberos is not
mandatory. Attacker can initiate NTLM with both client and server.
3APA3A. MCSE. MCT.
--Tuesday, April 22, 2003, 1:41:49 AM, you wrote to bugtraq@securityfocus.com:
JJ> You don't need to wait. This is prevented with NTLM v.2, which shipped
JJ> with Windows NT 4.0 SP4 in October 1998. This type of attack is also
JJ> foiled with Kerberos, which is negotiated by default in a Windows 2000
JJ> or higher domain.
JJ> To learn more about using NTLM v.2 and Kerberos, refer to the Windows
JJ> Jesper M. Johansson
JJ> Security Program Manager
JJ> Microsoft Corporation
--
~/ZARAZA
Всё обсуждение здесь :"Authentication flaw in microsoft SMB protocol"
|
| | |
Т.е. 30.04.03 09:58
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
Включаем "Digitally sign server communications (always)" и "Digitally sign client communications (always)" для всего домена (воркстейшны и серверы) и дышим ровно?
Но тогда, видимо, придётся распрощаться со всеми 9х клиентами?
|
| | | |
Т.е. 30.04.03 21:44
Автор: JINN <Sergey> Статус: Elderman
|
> Включаем "Digitally sign server communications (always)" и > "Digitally sign client communications (always)" для всего > домена (воркстейшны и серверы) и дышим ровно? > Но тогда, видимо, придётся распрощаться со всеми 9х > клиентами? Если верить MS там 3 возможных варианта :
"always sign, never sign, or sign only if the other party requires it."
Возможно третий вариант как раз для тех самых 9Х/МЕ?
Кроме того, seclab@ce.aut.ac.ir сообщает:
Points
1. The attacking machine gains a level of access as equal as the
logged-in user privileges on the victim machine.
2. The exploitation will fail, if the victim SMB ports (139/445) are
closed, or the victim is behind a firewall.
зы А вообще примечательно:
Subject: Re: Authentication flaw in microsoft SMB protocol
Date: Apr 19 2003 4:11PM
Author: Dave Aitel <dave@immunitysec.com>
"Also found and demonstrated by dildog at defcon 3 years ago. So don't
hold your breath waiting for that patch."
Т.е. 3 года прошло, а воз и ныне там-(
|
| | | | |
Т.е. 30.04.03 23:01
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
> Если верить MS там 3 возможных варианта : > "always sign, never sign, or sign only if the other party > requires it." Там - это где? Я вот знаю, что это настраивается в политиках безопасности. Есть 4 параметра:
Digitally sign server communications (always)
Digitally sign server communications (if possible)
Digitally sign client communications (always)
Digitally sign client communications (if possible)
> Возможно третий вариант как раз для тех самых 9Х/МЕ? Я так понимаю (в т.ч. после прочтения Hardening Guide к 2K), если будет включён if possible, то это то же самое, что и отключён (для нашего случая), потому как вроде бы ничто не мешает злонамеренному серверу притвориться SMB-клиентом, не умеющим signing.
> Кроме того, seclab@ce.aut.ac.ir сообщает: > Points > 1. The attacking machine gains a level of access as equal > as the > logged-in user privileges on the victim machine. Это, видимо, в том случае, когда атака начинается с того, что интерактивный пользователь запрашивает ресурс на злонамеренном SMB-сервере.
> 2. The exploitation will fail, if the victim SMB ports > (139/445) are > closed, or the victim is behind a firewall. Не, ну это понятно, что самый безопасный SMB - это выключенный SMB. Если бы я мог это сделать - я бы это сделал и не парился %)
> зы А вообще примечательно: > Subject: Re: Authentication flaw in microsoft SMB protocol > Date: Apr 19 2003 4:11PM > Author: Dave Aitel <dave@immunitysec.com> > "Also found and demonstrated by dildog at defcon 3 years > ago. So don't > hold your breath waiting for that patch." > Т.е. 3 года прошло, а воз и ныне там-( Может быть действительно тогда signing - реальное лекарство?
Я вот кстати находил на MS описание подобной уязвимости, довольно давнее. Там говорилось о m-o-m атаке на SMB. Но там что-то про групповые политики было - то ли применение, то ли модификация.
Неужели никто не тестил эксплоит?! откликнитесь!
|
| | | | | | |
говорят тестили 03.05.03 21:14
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
> говорят тестили и он работает. см мессагу от McOff. Ты имеешь в виду вот этот насыщенный информацией пост? :
Я после того как себя этим эксполитом с чужого компа поламал , так сразу всё и закрыл , спасибо за файлик Ж)
Вообще-то, вопрос не в том, работает ли эксплоит.
|
| | | | | | | |
говорят помогло 05.05.03 17:43
Автор: Killer{R} <Dmitry> Статус: Elderman Отредактировано 05.05.03 19:54 Количество правок: 1
|
>После установки Digitally sign server communications (alawys)и Digitally sign >client communications (always) на моём компе , эксполит не может >прорваться на С$ , т.д...
>Если ставить (if possible) то это не прокатывает , самба говорит что не >знает цифровой подписи Ж) (я так думаю)
(c) оттуда же
|
| | | | | | | | |
сенкс 06.05.03 10:39
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
угу
...Если ставить (if possible) то это не прокатывает ...
как и предполагалось :((
"всё плохо сделано, сплошная %опа, еда невкусная..." ((с) Масяня)
|
|
|