Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Microsoft Certified Master: Directory Services   RSS
RSS
Ondrej Sevecek's Blog > Posts > Jak vzniká pocit, že Windows je úplně zabagovanej
srpen 17
Jak vzniká pocit, že Windows je úplně zabagovanej
by  Ondřej Ševeček  on 17.8.2016 6:34
Category: Blog

Třeba takto. Nějakej "výzkumník" objeví (dlouho známý) velmi těžko zneužitelný nedostatek a když o tom napíše dostatečné hrozivý článek tak je z toho hned poprask a lidi ládují do registrů bezhlavě hodnoty, které zablokují všechno. Ten článek je v podstatě komplet přehnané strašení. Upozorňuje to explicitně navíc na firemní oběti, protože to ani pro workgroup počítače ani pro doménové stroje mimo dosah DC nefunguje.

Zaprvé to využívá SMB přístup do internetu. Jestli má firma na svém firewallu povolen zevnitř přístup na SMB do internetu, tak to se pak nemá proč divit. Druhak jestli firma neimplementuje žádnou multifaktorovou autentizaci, tak se nemá čemu divit. Takže prostor pro útok je minimální.

Třeťak to vychytává NTLMv2 response. Což je zasolená MD5 hash hesla. Takže jestli má uživatel správně dlouhé a komplexní heslo, to znamená alespoň 12 znaků, tak při použití nejrychlejšího nástroje hashcat a jedné GPU za cca 5000 Kč to bude krekovat cca 76 000 let. Takže drama největší. Začal jsem se toho děsně obávat.

Pokud chce někdo vychytávat hesla uživatelů, tak garantuju, že pokud uděláte stránku s nápisem "přihlašte se pomocí svého firemního účtu", tak to do toho formuláře zadá každý druhý uživatel a nemusí se krekovat žádná hash.

Dále rada na konci článku ohledně použití hodnoty RestrictReceivingNTLMTraffic a RestrictSendingNTLMTraffic je už úplný nesmysl, to se na mě nezlobte. Blokovat "receiving NTLM" (neboli Network Security: Restrict NTLM: Incoming NTLM traffic) tzn. příjem NTLM na straně podnikového klienta nejspíš provozně nevadí, ale zaručeně to neřeší popisovanou vulnerabilitu.

Ano, zablokovat "sending NTLM" (neboli Network Security: Restrict NTLM: Outgoing NTLM traffic) by proti tomuto "útoku" ochránilo. Dobrá tak to udělejte a užijte si těch padesát věcí, které vám potom nepojedou. Tohle nastavení, tedy zablokovat NTLM se snažím dělat posledních pár let všude, kde dělám nějaké zabezpečení a ze zkušenosti můžu garantovat, že to udělat nemůžete. Protože vám potom x věcí prostě nepojede. První je RDP v 90% případů. Druhý je SQL klienti v 50% případů. NTLM prostě v podnikové síti vypnout nejde, protože to na to není připravené. Howgh.

Takže až zase budete číst nějaké strašáky, tak to berte jako stejnou propagandu, jako jsou libovolné jiné zaručeně "nejdůvěryhodnější" články o politice, válkách, společnosti, ekologii apod.

Permanent Link to Post | Email Post Link | Number of Comments 9 Comment(s)

Comments

Re: Jak vzniká pocit, že Windows je úplně zabagovanej

Moc díky za článek, konečně uvedení na pravou míru.
Co se týče polopravd a mýtů doporučuji tento záznam - mám pocit že tam také všechny informace nebyli korektní :-)

http://nat.brmlab.cz/talks/lightning_talks/lt-2016-05/2016-05-05-bezpecnost-ve-windows-sietach.mkv 
Video je odsud: https://brmlab.cz/event/talknight 
Windows on 17.8.2016 10:20

Re: Jak vzniká pocit, že Windows je úplně zabagovanej

"Zaprvé to využívá SMB přístup do internetu. Jestli má firma na svém firewallu povolen zevnitř přístup na SMB do internetu, tak to se pak nemá proč divit. Druhak jestli firma neimplementuje žádnou multifaktorovou autentizaci, tak se nemá čemu divit."

Mam tomu rozumiet tak ze ako developer mozem robit deravy korporatny softver lebo kazda slusna firma ma mat x sposobov zabezpecenia siete a ak nema tak si vlastne nejaky utok zvonku cez moju dieru zasluzi, resp nie je sa comu cudovat, proste si o to koleduje a de facto je v takom pripade viac na vine firma (interne IT) ako dodavatel softveru cez ktory k utoku doslo.
Chapem to spravne?
security on 17.8.2016 21:59

Re: Jak vzniká pocit, že Windows je úplně zabagovanej

určitě ne. nezpochybňuji, že se jedná o napadnutelnost. ale míra kritičnosti téhle a podobných problémů, jak jsou prezentovány jako kritické, je ve skutečnosti naprosto minimální.
ondass on 17.8.2016 22:13

Re: Jak vzniká pocit, že Windows je úplně zabagovanej

a ano, každá bezpečnost musí být založena na x vrstvách, protože žádný developer neudělá nic dokonalé a žádný uživatel se nechová dostatečně bezpečně
ondass on 17.8.2016 22:14

Re: Jak vzniká pocit, že Windows je úplně zabagovanej

hovoris o 12 znakovych heslach... pokial ide o firemny ucet, prihlasujes sa donho velakrat denne. minimalne rano po prichode, potom pridu ranajky, potom doobeda zodvakrat odbehnes na wc, pokial si fajciar, dva krat odbehnes na cigaretku. potom pride obed, zasa 1-2x na wc, jedna dve cigaretky. to je tak 11 prihlaseni denne. to nehovorim ak pracujes niekde nadialku cez RDP. pre PCI-DSS certifikat sa napriklad vyzaduje automaticky logout po 5 minutach neaktivity. Na RDP mame dva terminal servery, na ktore sa podla vlastnych skusenosti prihlasujem asi 6-7x denne, na oba. takze zrazu je to 25x zadavanie hesla denne. ak by bolo v politike nastavene ze heslo musi mat 12 znakov, zopar "ludi z IT" by bolo niekam nakopnutych. Neviem o nicom co by v dnesnej dobe vyzadovalo viac ako 8 miestne heslo. a naraz sa z tvojich 76 000 rokov stavaju roky, mozno stovky dni :)

a teraz ruku na srdce, ake dlhe heslo mas na prihlasenie do tohto redakcneho systemu? nemusis odpovedat :)
tomas on 19.8.2016 8:35

Re: Jak vzniká pocit, že Windows je úplně zabagovanej

sem mám heslo 15 znaků :-)
do počítače mám heslo 16 znaků a zadávám ho při každém zamčení počítače, takže klidně 100x denně.
není přece problém mít heslo jednoduché, ale dlouhé

To je vždycky věc riziko vs. náklady, takže jestli mě někdo má kopnout, tak potom nebude mít bezpečnost, tak ať mě klidně kopne.

heš hesla se pohybuje na intranetu všude, takže pokud jsou ta hesla kratší než 12 znaků, tak je děravej ten intranet zevnitř sám tak, že nějaký jeden brouzdač, který někde klikne a jednu z těch heší někomu dá do internetu nepovažuju za hrozbu. Prostě 12 znaků je povinnost. Kratší heslo není heslo.

Na RDP mají mít uživatelé SSO, takže to heslo nemusí do RDP zadávat.
ondass on 19.8.2016 8:48

Re: Jak vzniká pocit, že Windows je úplně zabagovanej

Jestli ten exploit opravdu dokáže vykrást heslo, tak bych to jako zbytečný strašení neoznačoval. Vyzkouším.

1. Firewall na odchozí spojení spousta firem nemá. Jsou prostě za obyčejným (tak jako tak děravým) ADSL modemem s výchozím nastavením.

2. Vícefaktorový ověřování nemá téměř nikdo. Uvažuj "normální" firmu a ne tvoje klienty :)

3. 8 znakový heslo bude podle mě ve firmách dost častej případ.

4. Neber v úvahu jednu grafickou kartu, ale cloudový crackovací služby.
Borek on 19.8.2016 15:36

Re: Jak vzniká pocit, že Windows je úplně zabagovanej

Platna hash je dobrej ulovek.  PSH funguje stale dobre.
VikT0r on 27.9.2016 10:36

Re: Jak vzniká pocit, že Windows je úplně zabagovanej

to by byla, ale tohle je hash zasolená randomem, takže z toho se nedá dostat PSH hash.
ondass on 27.9.2016 11:23

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments