SMB Signing not required

1. 漏洞报告

image

2. 漏洞介绍

           SMB是一个协议名,全称是Server Message Block(服务器消息快协议),用于在计算机间共享文件、打印机、串口等,电脑上的网上邻居由它实现。SMB签名是SMB协议中的安全机制,也称为安全签名。SMB签名旨在帮助提高SMB协议的安全性,为了防止在传输过程中修改SMB数据包,SMB协议支持SMB数据包的数字签名。所有Windows操作系统都支持客户端SMB组件和服务器端SMB组件。要利用SMB数据包签名,通信中涉及的客户端SMB组件和服务器端SMB组件必须启用或需要SMB数据包签名。如果服务器启用此设置,Microsoft网络服务器将不与Microsoft网络客户端通信,除非该客户端同意执行SMB数据包签名。同样,如果需要客户端SMB签名,则该客户端将无法与未启用数据包签名的服务器建立会话。默认情况下,在工作站,服务器和域控制器上启用客户端SMB签名。
           SMB签名在性能上有一些权衡。如果网络性能对部署方案很重要,建议您不要使用SMB签名;如果要在高度安全的环境中使用SMB,建议您使用SMB签名。当启用SMB签名时,SMB将停止使用RDMA远程直接数据存取,因为最大MTU限制为1,394字节,这会导致邮件碎片和重组,并降低整体性能。

3. 漏洞危害

           SMB服务上不需要签名。未经身份验证的远程攻击者可以利用此攻击对SMB服务器进行中间人攻击。

4. 漏洞检测

# 返回有关SMB确定的SMB安全级别的信息
nmap -sS -sV -Pn -p 445 --script="smb-security-mode" 127.0.0.1
# 确定SMBv2服务器中的邮件签名配置
nmap -sS -sV -Pn -p 445 --script="smb2-security-mode" 127.0.0.1

image.png

## linux的Samba服务

λ nmap -sS -sV -Pn -p 445 --script="smb-security-mode" 192.168.43.58
Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.
Starting Nmap 7.91 ( https://nmap.org ) at 2021-04-19 15:21 ?D1ú±ê×?ê±??
Nmap scan report for 192.168.43.58
Host is up (0.0019s latency).

PORT    STATE SERVICE     VERSION
445/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: ITSECGAMES)
MAC Address: 00:0C:29:3E:BA:70 (VMware)

Host script results:
| smb-security-mode:
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 8.53 seconds

5. Windows漏洞修复

1. 使用Windows+R快捷键打开运行窗口输入gpedit.msc进入本地组策略编辑器。依次点击计算机配置>Windows设置>安全设置>本地策略>安全选项。

image.png

2. 如果是服务端需要启用SMB签名,请启用Microsoft网络服务器:对通信进行数字签名(始终)。

image.png

3. 如果是客户端需要启用SMB签名,请启用Microsoft网络服务器:对通信进行数字签名(如果客户端允许)。

image.png

4. 管理员运行cmd输入gpupdate /target:computer,是修改后的策略生效。

image.png

5. 漏洞验证。

image.png

6.Linux漏洞修复

1.修改配置文件/etc/samba/smb.conf,将client signing = mandatory和server signing = mandatory添加到[global]后保存文件,然后重启samba服务

root@bee-box:/home/bee# cat /etc/samba/smb.conf | grep global -A 3 -B 3

#======================= Global Settings =======================

[global]
client signing = mandatory
server signing = mandatory
## Browsing/Identification ###
root@bee-box:/home/bee# /etc/init.d/samba restart
 * Stopping Samba daemons                                                [ OK ] 
 * Starting Samba daemons                                                [ OK ] 
root@bee-box:/home/bee#

2. 漏洞验证。

λ nmap -sS -sV -Pn -p 445 --script="smb-security-mode" 192.168.43.58
Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.
Starting Nmap 7.91 ( https://nmap.org ) at 2021-04-19 16:19 ?D1ú±ê×?ê±??
Nmap scan report for 192.168.43.58
Host is up (0.0010s latency).

PORT    STATE SERVICE     VERSION
445/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: ITSECGAMES)
MAC Address: 00:0C:29:3E:BA:70 (VMware)

Host script results:
| smb-security-mode:
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: required

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 9.46 seconds
posted @ 2021-01-18 15:17  一曲天地远  阅读(895)  评论(0编辑  收藏  举报