Pregunta:
Firma de mensajes deshabilitada (peligrosa, pero predeterminada)
voices
2015-09-26 12:57:02 UTC
view on stackexchange narkive permalink

Durante los últimos años, he desarrollado un gran interés en las pruebas de penetración & Información Seguridad . A lo largo de este tiempo, he adquirido (y acumulado) una variedad de dispositivos diferentes con capacidades de red, principalmente, en un esfuerzo por aprender más sobre diversas técnicas de auditoría de seguridad. A continuación se muestra un extracto de un escaneo de nmap de uno de estos dispositivos: 

  Resultados de la secuencia de comandos del host: | smb-os-discovery: | SO: Windows 10 Home 10240 (Windows 10 Home 6.3) | Nombre del equipo NetBIOS: MARK | Grupo de trabajo: WORKGROUP | _ Hora del sistema: 2015-09-24T23: 38: 38-06: 00 | modo-seguridad-smb: | Cuenta que se utilizó para los scripts smb: <blank> | Autenticación a nivel de usuario | Seguridad SMB: se admiten contraseñas de desafío / respuesta | _ Firma de mensajes deshabilitada (peligrosa, pero predeterminada) | _smbv2 habilitado: el servidor admite el protocolo SMBv2

Mi pregunta se refiere específicamente a la siguiente declaración :
Firma de mensajes deshabilitada (peligrosa, pero predeterminada) .
¿Qué es la firma de mensajes? ¿Cuál es el peligro?

Se agradecería cualquier ejemplo de exploits en funcionamiento.

Explote el motor aquí: https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2015/november/introducing-chuckle-and-the-importance-of-smb-signing/
One responder:
user83426
2015-09-26 13:31:53 UTC
view on stackexchange narkive permalink

La firma de mensajes, en este contexto, se refiere a la firma SMB (Bloque de mensajes del servidor).

Server Message Block (SMB) es un protocolo de red de "capa de aplicación" común de Windows, y la firma es una característica que permite que las comunicaciones SMB sean "firmadas" digitalmente en el "nivel de paquete". La "firma" subsiguiente proporciona un mecanismo mediante el cual un destinatario puede verificar la autenticidad de una fuente.

Por ejemplo, es importante que los controladores de dominio tengan habilitada la firma SMB porque SMB es el protocolo que utilizan los clientes para descargar información de la política de grupo y la firma de SMB proporciona una forma de certificar que el cliente está recibiendo una política de grupo genuina.

La firma SMB es compatible con todas las versiones de Windows, pero solo está habilitada de forma predeterminada en los controladores de dominio.

Nmap le permite saber que:

  1. La firma SMB está deshabilitada;
  2. Esta es la opción más peligrosa, o menos segura, (a diferencia de a tener habilitada la firma SMB);
  3. Esta es la configuración predeterminada para el sistema que está escaneando.
Entonces, básicamente, ¿es como una suma de verificación?
@tjt263 Mejor que una suma de comprobación. Si recibe 2 mensajes con la misma firma digital, sabrá que los envió la misma persona. Las sumas de comprobación son idénticas independientemente de quién las haya agregado a un mensaje.


Esta pregunta y respuesta fue traducida automáticamente del idioma inglés.El contenido original está disponible en stackexchange, a quien agradecemos la licencia cc by-sa 3.0 bajo la que se distribuye.
Loading...