. Мы используем конфигурацию samba в наших системах RedHat (RHEL7.9), где аутентификация SMB основана на хэше пароля NTLM, который в основном представляет собой учетные данные в виде открытого текста. для аутентификации запрос-ответ, которая сохраняется в отдельном атрибуте sambaNTPassword в базе данных каталога LDAP (Oracle unified Directory).
Итак, наша команда безопасности провела некоторое тестирование на проникновение и обнаружила MD4, который используется нашей самбой, который может быть перехвачен, поскольку он содержит более слабый хэш.
Помимо аутентификации, обеспечение целостности данных и шифрование при передаче являются важными частями безопасности SMB, которая снова зависит от хэша MD4.
cat /etc/samba/smb.conf
[global]
log file = /var/log/samba/%m.log
log level = 2
max log size = 50
netbios name = FDI0816
server string = FDI0816.myorg.com
workgroup = FDI
; ldap configuration
invalid users = root +wheel
encrypt passwords = Yes
guest account = nobody
ldap admin dn = cn=sambaAdmin,ou=users,o=services
ldap group suffix = ou=Group
ldap passwd sync = only
ldap ssl = no
ldap suffix = ou=FDI,o=myorg
ldap timeout = 4
ldap user suffix = ou=People
map to guest = Bad User
security = user
passdb backend = ldapsam:"ldaps://ldap.FDI.myorg.com ldaps://ldap.rnd.myorg.com"
; client connection settings
deadtime = 15
dns proxy = No
lm announce = No
server min protocol = SMB2
; shares default settings
create mask = 0750
directory mask = 2750
posix locking = No
strict allocate = Yes
unix extensions = No
wide links = Yes
; printers are disabled
disable spoolss = Yes
load printers = No
printcap name = /dev/null
printing = bsd
show add printer wizard = No
[homes]
browseable = No
comment = Your Home
create mode = 0640
csc policy = disable
directory mask = 0750
public = No
writeable = Yes
[proj]
browseable = Yes
comment = Project directories
csc policy = disable
path = /proj
public = No
writeable = Yes
[home]
browseable = Yes
comment = Project directories
csc policy = disable
path = /home
public = No
writeable = Yes
Пример:
Attribute Description value
sambaNTPassword 0735509A0ED9A577BD7D8GG7BC1T
uidNumber 32222
userPassword {RBKBD4-HMAC-SHA512)...
Samba Version: 4.10
Client side smb version: 2
Samba Server : RHEL7.9
Если кто-нибудь сталкивался с этим и нашел решение, то я хотел бы чтобы обратиться за советом или советом по устранению проблемы.
После прочтения и проверки результатов проверки на проникновение я узнал, что тестеру была предоставлена внутренняя учетная запись пользователя, основанная на LDAP, и обнаружены слабые места. для LDAP (Oracle Unified Directory), где они нашли "LDAP Anonymous Null Bind", следовательно, они обнаружили, что можно получить критически важную информацию через службу LDAP без необходимости предоставлять какие-либо учетные данные для аутентификации, поскольку он также поддерживает поисковые запросы с NULL и пустыми базовыми объектами таким образом, злоумышленник, не прошедший проверку подлинности, может использовать и получить информацию даже при любом предварительном знании LDAP.
Таким образом, мы получили доступ к серверу LDAP, поскольку он разрешал NUll / пустые базовые соединения с сервером LDAP, и выгружал все ДАННЫЕ LDAP, откуда легко получил всю информацию о пароле для userPassword
& sambaNTPassword
.
Для проведения атаки «pass-the-hash» использовались инструмент «Mimikatz» и браузер «Internet Explorer».
Однако здесь интересно отметить, что для получения доступа к Организации им требовался доступ к VPN извне, поэтому они использовали инструмент meterpreter
, чтобы обойти то же самое с обратным https-соединением
paylod .
Хэши паролей NT используют MD4, и вы ничего не можете с этим поделать. .
Но вы уже устранили проблему перехвата сети с помощью ldaps, защищенного LDAP с помощью TLS. Если что-то не так с вашей конфигурацией TLS, эти хэши не могут быть перехвачены из сети. Мне было бы очень интересно услышать подробности о том, как ваша команда безопасности взломала TLS.
Единственным другим способом получить эти хэши паролей является прямой локальный доступ к серверам LDAP или сбой контроля доступа, который позволит кому-то запросить их. Однако вы ничего не упомянули об этом.