Dissecting the Pass the Hash Attack
SecurityAdmin
שלום רב,
לאחרונה קראתי על ההתקפה הנ"ל:
http://www.windowsecurity.com/artic...ash-Attack.html
לא הבנתי כיצד ניתן לעקוף את מנגנוני האותנתיקציה של ה-Kerberos שכן יש מנגנוני
Replay attack וכו'.
אני אודה אם מישהו יוכל לעזור לי להבין את חולשת האבטחה המתוארת.
כיצד אפשר לעשות שימוש ב-HASH שתפסתי ברשת ולהזדהות איתו מול ה-DC?
--
בברכה,
רונן
Yuval Sinay
המנגנון שמאמר לא מתייחס ישירות ל KERBEORS, אלא למנגנונים ישנים שעדיין עובדים
אצל לקוחות. כעיקרון ההתקפה די פשוטה:
1. אתה משיג את ה HASH של שם המשתמש + הסיסמה של USER שמתחבר למשאבים.
* אפשרי להשיג את ה HASH באמצעות 3 דרכים עיקריות:
א. דרך המחשב ממנו מתחבר משתמש מורשה לרשת.
ב. SNIFFING לתעבורה ברשת, וגניבת ה HASH.
ג. דרך המחשב בעל ה RESOUCRS - אליו משתמש מורשה התחבר.
2. אתה מעביר את ה HASH "הגנוב" למחשב קורבן, והוא חושב שמדובר במשתמש מורשה
ואמיתי.
אם כל הרשת שלך תעבוד עם KERBEORS, ולא LM HASH וכולי - ישנו שלב מקדים של
אימות חשבון המחשב, ואז אבטחת ה SESSION - דבר שמקשה על הפריצה. כמובן שהוספת
IPSEC עם CERTIFICATE מונעת כמעט באופן מלא פריצה של גורם לא מורשה לרשת (אך
משתמש עם מחשב מורשה עדיין יכול לנסות לבצע מתקפות דומות).
זאת התורה על רגל אחת, לא נכנסתי ממש לעומק, אבל אני מקווה שהבנת את הרעיון.
--
Best Regards,
Yuval Sinay
Microsoft MVP, Architect & Expert
Website and Knowledgebase resources (Hebrew): http://www.shadowall.net
IT Services: http://www.ben-shushan.net/services
"SecurityAdmin":
SecurityAdmin
ראשית תודה רבה על התשובה המקצועית והמפורטת.
השכלתי ממך!
שנית, רציתי לדעת האם by default עמדות מסוג XP\WIN 7 מתאמתות מול ה-DC
באמצעות KERBEROS ?
איך אני יכול לכפות ב-GPO על כל העמדות וגם על ה -DC לעבוד רק ב-KERBEROS?
האם הקשחת השרת באמצעות security templates או ה-WIZZARD של מיקרוסופט
יגדירו את השרת לשימוש רק ב-KERBEROS?
תודה רבה לך!
בברכה,
SecurityAdmin
"Yuval Sinay":
Yuval Sinay
עם KERBEORS בלבד (אלא אם תבנה ADM ספציפי, ואז תאבד יכולות עבודה מסוימות
ברשת):
http://www.windowsecurity.com/articles/Protect-Weak-Authentication-Protocols-Passwords.html
בהצלחה