Nazaj na blog AD Attacks

SMB podpisovanje: en GPO, ki bi me ustavil

Vid Grosek
Vid Grosek Etični heker & Penetracijski tester
July 31, 2024 4 min branja
SMB podpisovanje: en GPO, ki bi me ustavil
Nazadnje posodobljeno:

Izmed vseh priporocil za utrjevanje, ki jih zapisem v porocila penetracijskih testov, je uveljavljanje SMB podpisovanja tisto, za katerega bi si zelel, da bi ga vsaka organizacija implementirala takoj. Po mojih izkusnjah bi omogocanje SMB podpisovanja na vseh sistemih blokiralo ali bistveno upocasnilo mojo napadalno pot v priblizno 70% mojih projektov. Gre za eno samo nastavitev skupinske politike, ki odpravlja celoten razred napadov, a vecina organizacij jo puscca na privzeti nevarni vrednosti.

SMB podpisovanje zagotavlja, da je vsak paket SMB kriptografsko podpisan s strani posiljatelja. Ko je podpisovanje uveljavljeno, ne morem prestreci overitve in jo ponovno predvajati na drug streznik, ker bo podpis za nov cilj neveljaven. NTLM relay spremeni iz trivialnega napada v nemogocnost za cilje na osnovi SMB.

Zakaj je privzeta konfiguracija nevarna

Microsoftova privzeta konfiguracija SMB je ze leta vir frustracij za varnostne strokovnjake. Krmilniki domene privzeto zahtevajo SMB podpisovanje, kar je dobro. A vse ostale naprave Windows -- delovne postaje, clanski strezniki, datotecni strezniki -- samo podpirajo podpisovanje, ne da bi ga zahtevali. To pomeni, da ce ena stran povezave ne zahteva podpisovanja, se komunikacija odvija nepodpisana.

V prakticnem smislu to pomeni, da je vsaka povezava SMB med delovno postajo in streznikom v privzetem okolju ranljiva za preusmeritev. Ko na omrezju pozenem Responder in zajamem NTLM overitev, namenjeno datotecni delitvi, jo lahko preusmerim na katerikoli streznik, ki ne zahteva podpisovanja. Ker vecina clanskih streznikov podeduje privzeto nastavitev, imam siroko polje ciljev.

Situacija postane se slabsa, ko upostevamo prisiljevanje overitve. Ni mi treba cakati na organski promet. Uporaba PetitPotam proti strezniku ga prisili, da se overja pri meni prek SMB, in ce na mojem cilju podpisovanje ni zahtevano, to overitev neposredno preusmerim. Tocno ta tok sem uporabil za kompromitacijo streznikov za varnostno kopiranje, podatkovnih streznikov in distribucijskih tock SCCM -- vse v okoljih, ki so imela znaten varnostni proracun.

Mit o zmogljivosti

Najpogostejsi ugovor proti omogocanju SMB podpisovanja, ki ga slisim, je vpliv na zmogljivost. Ta skrb je v veliki meri zastarela. Na sodobni strojni opremi s podpisovanjem na osnovi AES je obremenitev minimalna. Microsoftovi lastni testi zmogljivosti kazejo priblizno 2-3% zmanjsanje prepustnosti pri trajnih operacijah kopiranja datotek. Za tipicne poslovne obremenitve, kot so odpiranje dokumentov, shranjevanje datotek in dostop do skupnih map, je vpliv neznaten.

Tudi v scenarijih z mocno uporabo datotecnega streznika je strosek zmogljivosti SMB podpisovanja dramaticno manjsi od stroska uspesnega napada relay. Videl sem organizacije, ki so porabile milijone za obnovo po izsiljevalski programski opremi, ko bi en GPO preprecil zacetno kompromitacijo. Argument o zmogljivosti ne prezivi osnovne analize stroskov in koristi.

Ce imate starejse sisteme, ki resnicno ne morejo podpirati SMB podpisovanja, jih izolirajte v locen omrezni segment s strogimi pravili pozarnega zidu. Ne dovolite, da peščica starejsih naprav ogroza celotno domeno.

Uvajanje po korakih

Tukaj je, kako priporocam organizacijam, da uvedejo SMB podpisovanje brez povzrocanja motenj:

  1. Najprej revidirajte. Preden uveljavite podpisovanje, identificirajte, katere naprave v vasem okolju trenutno dogovarjajo nepodpisane povezave SMB. Omogocite politiko "Audit" za SMB podpisovanje in preglejte dnevnike. To bo razkrilo vse starejse naprave ali aplikacije, ki ne morejo obravnavati podpisovanja.
  2. Zacnite s strezniki. Ustvarite GPO, ki nastavi "Microsoft network server: Digitally sign communications (always)" na Omogoceno. Povezite ga s strezniškimi OU-ji. En do dva tedna spremljajte morebitne tezave.
  3. Razsirite na delovne postaje. Enak GPO uveljavite na OU-je delovnih postaj. Omogocite tudi odjemalcno stran: "Microsoft network client: Digitally sign communications (always)." To zagotovi zahtevo po podpisovanju ne glede na to, katera stran vzpostavi povezavo.
  4. Potrdite uveljavitev. Ne zaupajte samo, da je GPO uveljavljen. Uporabite orodja kot CrackMapExec ali NetExec z opcijo --gen-relay-list za skeniranje omrezja in identifikacijo naprav, ki se vedno dovoljujejo nepodpisane povezave SMB. Vsaka naprava na tem seznamu je se vedno ranljiva.

Onkraj SMB podpisovanja: dopolnilne kontrole

SMB podpisovanje ustavi preusmeritev na osnovi SMB, a napadalci lahko se vedno preusmerijo NTLM overitev na druge protokole. Za popolno zaprtje vrat napadom relay potrebujete dopolnilne kontrole:

  • LDAP podpisovanje in vezava kanalov: Preprecuje preusmeritev na LDAP/LDAPS. Nastavite LdapEnforceChannelBinding na 2 in zahtevajte LDAP podpisovanje na vseh krmilnikih domene.
  • EPA (razsirjena zascita za overitev): Preprecuje preusmeritev na spletne storitve kot so spletni vpis ADCS, Exchange OWA in interne spletne aplikacije.
  • Postopno onemogocite NTLM: Koncni cilj je popolna odprava NTLM v korist Kerberosa. Uporabite politike GPO "Restrict NTLM" za revizijo in nato blokado NTLM na ravni domene.

Spremljanje po uvedbi

Po omogocanju SMB podpisovanja nastavite spremljanje za zaznavanje kakrsnihkoli poskusov izkoriščanja NTLM relay. Tudi z uveljavljenim podpisovanjem je zaznavanje dragoceno, ker razkriva aktivno napadalno dejavnost v vasem omrezju. Spremljajte dogodke NTLM overitve (dogodek ID 4624, tip prijave 3), kjer se ime izvorne delovne postaje ne ujema s povezovalnim IP naslovom. Ta vzorec je mocen indikator poskusov preusmeritve.

Dodatno spremljajte napade v slogu Responderja z opazovanjem poizvedb LLMNR in NBT-NS. Te protokole napadalci uporabljajo za prestrezanje razresevanja imen in sprozitev NTLM overitve. Onemogocite LLMNR in NBT-NS v celotnem okolju prek GPO in nastavite alarme na katerikoli preostali promet, ki uporablja te protokole.

SMB podpisovanje ni glamurozno. Ne bo vam prineslo nobenih nagrad ali ustvarilo impresivnih metrik na nadzorni plosci. A v mojih letih penetracijskega testiranja sem videl, da ustavi vec napadov kot katerikoli EDR produkt, katerokoli pravilo pozarnega zidu ali katerikoli program usposabljanja za varnostno ozavescenost. Je temelj, na katerem se gradi vse ostalo. Omogocite ga danes.

Tags: Napadi na AD Penetracijski test Slovenija

Zanima vas vec o tej temi? Preberite mojo strokovno stran o Active Directory Security →

Vid Grosek

Vid Grosek

Etični heker & Penetracijski tester

Pomagam slovenskim podjetjem odkriti varnostne ranljivosti, preden jih odkrijejo napadalci. Vec kot 5 let izkusenj s penetracijskim testiranjem.

Vse objave

Sorodne objave

WRITING
Napadi na AD Aug 25, 2024

Vas EDR me ni ustavil: zakaj zaznavanje na koncnih tockah odpove proti napadom na AD

Produkti EDR odlicno lovijo zlonamerno programsko opremo, a dosledno odpovedujejo pri zaznavanju napadov na AD, ki zlorabljajo legitimne protokole in vgrajena orodja.
WRITING
Napadi na AD Aug 20, 2024

Zakaj MFA odpove znotraj omrezja: vrzeli overitve AD, ki jih napadalci izkoriščajo

Vas MFA sciti vhodna vrata, a znotraj omrezja overitev Active Directory nima drugega faktorja. Tukaj je, kako zapreti to vrzel.
WRITING
Napadi na AD Aug 15, 2024

Veriga uničenja Active Directory: kako se napadalci premaknejo od začetnega dostopa do Domain Admina

Razčlenitev verige napadov na AD po korakih in kje bi morali branilci postaviti kontrole zaznavanja in preprečevanja na vsaki stopnji.

Komentarji

Ni se komentarjev. Bodite prvi!

Dodaj komentar

Vam je bil clanek vsec?

Prijavite se na newsletter za mesecne varnostne vpoglede.

Prijavite se