Новый виток в противостоянии злоумышленников и Microsoft.
Недавно опубликованное Для просмотра ссылки Войдиили Зарегистрируйся вызвало дискуссии о том, как можно обойти ограничения Point and Print (PnP), предложенные в статье. Автор решил не просто обновить пост, а Для просмотра ссылки Войди или Зарегистрируйся и найти более эффективные способы защиты от эксплуатации PnP.
Начальные условия заключались в следующем:
Однако, несмотря на такие настройки, выяснилось, что можно обойти защиту с помощью атаки DNS-спуфинга, подменив имя разрешённого сервера на атакующий.
Автор проверил метод в лабораторных условиях, подменив IP-адрес на адрес сервера злоумышленника, что привело к ошибке, связанной с неправильным именем принтера. Анализ с помощью Wireshark показал, что взаимодействие клиента с сервером происходит через зашифрованный канал DCE/RPC, защищённый от атак NTLM Relay.
Даже после установки политики UNC Path Hardening, которая ограничивает доступ к сетевым путям, удалось обойти защиту. В ответ на вызовы удалённых процедур через DCE/RPC сервер возвращал неверный сетевой путь, что позволяло обойти ограничения. Подмена пути с UNC на локальный позволила успешно установить уязвимый драйвер принтера.
В итоге автор пришёл к выводу, что используемые меры защиты, такие как UNC Hardened Access и использование SMB для подключения, недостаточны для предотвращения MitM-атак (Man-in-the-Middle). Также выяснилось, что политика исключения драйверов, основанная на хэшах файлов, неэффективна, так как атакующие могут легко изменить файл, не нарушая его подпись.
Ключевой вывод исследования: настройка политики «Restrict Driver Installation To Administrators» является единственным надёжным способом защиты от эксплуатации конфигураций Point and Print. В будущем возможно, что новый режим Windows Protected Print (WPP) сможет решить проблему, однако пока что системным администраторам рекомендуется не отключать новые ограничения для установки драйверов принтеров, чтобы обеспечить защиту.
Недавно опубликованное Для просмотра ссылки Войди
Начальные условия заключались в следующем:
- политика, ограничивающая установку драйверов только администраторами, была отключена;
- включена политика использования только подписанных драйверов для принтеров;
- разрешена установка драйверов только с одного авторизованного сервера.
Однако, несмотря на такие настройки, выяснилось, что можно обойти защиту с помощью атаки DNS-спуфинга, подменив имя разрешённого сервера на атакующий.
Автор проверил метод в лабораторных условиях, подменив IP-адрес на адрес сервера злоумышленника, что привело к ошибке, связанной с неправильным именем принтера. Анализ с помощью Wireshark показал, что взаимодействие клиента с сервером происходит через зашифрованный канал DCE/RPC, защищённый от атак NTLM Relay.
Даже после установки политики UNC Path Hardening, которая ограничивает доступ к сетевым путям, удалось обойти защиту. В ответ на вызовы удалённых процедур через DCE/RPC сервер возвращал неверный сетевой путь, что позволяло обойти ограничения. Подмена пути с UNC на локальный позволила успешно установить уязвимый драйвер принтера.
В итоге автор пришёл к выводу, что используемые меры защиты, такие как UNC Hardened Access и использование SMB для подключения, недостаточны для предотвращения MitM-атак (Man-in-the-Middle). Также выяснилось, что политика исключения драйверов, основанная на хэшах файлов, неэффективна, так как атакующие могут легко изменить файл, не нарушая его подпись.
Ключевой вывод исследования: настройка политики «Restrict Driver Installation To Administrators» является единственным надёжным способом защиты от эксплуатации конфигураций Point and Print. В будущем возможно, что новый режим Windows Protected Print (WPP) сможет решить проблему, однако пока что системным администраторам рекомендуется не отключать новые ограничения для установки драйверов принтеров, чтобы обеспечить защиту.
- Источник новости
- www.securitylab.ru