Pull to refresh

Comments 32

SMB запрос через файрвол?
Девушка это гипотетический конь в вакууме, вам нужно «пробить» периметр, создать «шару» залить пэйлоад. И все ради того что бы кто то открыл сессию внутри песочницы.

OLE хочется рвать и метать. В частности из за криворучек которым все мешает похоронили такую штуку. Однако офис ругается с самого начала на не подписанные расширения. Система доверия сертификатам для выпуска ПО, я считаю достаточно надежна.

Макросы снова вредные советы. Для того что бы обойти дурацкие ограничения нужно в том же экселе создавать формулы размером до 64кб.
В одном из проектов я заменил это все на макросы и счастью клиента не было предела, потому что можно составлять спецификации из тысяч позиций, которые не тормозят при пересчете.

Зы приведите кстати актуальные версии софта и систем в которых ваши советы применимы.
Дефолтные настройки по моему уже у всех такие, а кто полез тюнить знает зачем.
Если айпишник предоставлен публичный, винда реально полезет за шарой через Интернет. Способ рабочий, к сожалению, сам тестировал и перекрывал 139/tcp и 445/tcp на внешний интерфейс с log+drop.
Я просил указать версии ОС. Надеюсь у вас не «Тру Винда из всех XP»?
Минусующим же скажу безопасность это комплекс мер.
Windows 8.1, Windows 10. Десятку проверял как с отломанными апдейтами (как сломал, сам не понял), и полностью обновленную на тот момент (1803).
Wireshark или что то другое?
Можно сессию из «датчика»?
Мне просто интересно до какого места дошел пакет. Обычная корпоративная сеть, как впрочем и рабочее место как минимум находятся за одним роутером.
И там все эти шалости пресекаются.
UFO landed and left these words here
SMB-запрос имеет право на жизнь. О создании шары внутри периметра вообще
речи не идет. Атака, описанная в статье, реализуема для относительно
небольших компаний, где 445 порт открыт.

Основная проблема с макросами в том, что на каждый макрос Office реагирует
очень остро. В связи с чем замотивировать пользователя запустить макрос
достаточно сложно, каким бы безвредным для антивируса он ни был.
Система доверия сертификатам для выпуска ПО, я считаю достаточно надежна.

Те, кто читает Хабр хотя бы с начала года, так не считают :)
habr.com/company/globalsign/blog/350472
Преступники покупают оружие всегда, и это не повод запретить оружие законопослушным гражданам.
Ровно то же относится и к технологиям которые я перечислил. Браузер плавно перетек из приложения в дырявый со всех сторон ящик с бронированными дверями.

Теперь идут попытки превратить приложения в неудобный и не безопасный инструмент.

Шелл-код в файле BMP — насколько он поможет обойти антивирус? Разве антивирус не сработает при попытке запустить этот скрипт?
Фокус с BMP поможет обойти антивирус на этапе доставки шелл-кода. При
попытке запуска скрипта все будет упираться в то, насколько «безопасным» для
антивируса выглядит шелл-код.
Да, я именно это и имел в виду. Думаю, что какой-то радикально новый и неизвестный для антивируса шелл можно хоть в txt отправить.
И все же вопрос всем минусантам что есть сеть 192.168.0.0/16?

А HTML который содержит картинку с SMB-шары уже не работает?

Вся уязвимость построена именно на дружелюбности Windows и отправке
хеша пароля по smb-протоколу. При правильной настройке и условиях HTML,
который содержит картинку с SMB-шары, заведется

Объясните, пожалуйста, чем так уж ужасно, что злоумышленник получит внешний ip'ник провайдера и где-то там внутри хеш и логин пользователя? Что он с этим делать-то будет?

Если полученный IP будет выделенным для конкретной компании — можно начинать исследовать корпоративный фаервол или устраивать DDoS на него. Логин можно использовать при фишинге, при продвижении внутрь корпоративной сети или для попытки залогиниться в веб-интерфейсе корпоративной почты.

А без хеша пользователя никто не будет устраивать DDoS?

Возможно, будет. Но если вы хотите докучать конкретно ООО «Вектор», то способом из статьи можно узнать конкретный IP. Разумеется, никто не утверждает, что для DDoS нужен хеш пароля.
Успехов комрад. Когда надоест ломать посмотри счет за электричество.

root@The-Distribution-Which-Does-Not-Handle-OpenCL-Well (Kali):~/Desktop/My Stuff/cudaHashcat-1.30# '/root/Desktop/My Stuff/cudaHashcat-1.30/cudaHashcat64.bin' -m 5600 test::test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root/Desktop/My Stuff/cudaHashcat-1.30/example.dict'
Если пароль словарный, то из хеша его можно достать.

А дальше можно поискать открытые ресурсы, защищенные этим же паролем. Например, VPN для работающих удаленно сотрудников.

Нда. Вы сперва NAT как хотите пройти? Имя юзера и его пароль ничего не дадут

Если есть работающие удаленно сотрудники — значит, NAT они как-то проходят.

VPN? А юзер vpn и юзер на компьютере могут быть разными. Более того, много где vpn на нескольких пользователей. То есть пароли явно другие

Но ведь пароли могут быть и одинаковыми…

Ну если у компании один пароль на все, то тут как-то странно защищаться от дождя, стоя в озере

Скажите, а кроме обсуждаемой тут дыры в NTLM, какие еще могут быть проблемы с общим паролем для домена и для VPN?
Все теже проблемы, связанные с компрометацией хотя бы одного из паролей
¯\_(ツ)_/¯ По-хорошему сотрудники, имеющие доступ по VPN к критическим
ресурсам, должны ходить с сретификатом (который не валяется где-то в
почте)). И тут уже не важно, какой пароль используется.
Слишком много допущений. Может быть, а может и не быть, пользователь может быть идиотом, а может им и не быть.

В итоге гугло хром кажется мудаком, натренировав хомячков на зеленый значок.
И что примечательно быдлокодер поставил себе летсенкрипт и все «уверены что БЕЗАПЯСНО!!!»

При чем тыкают в экзешники, потому что GOOGLE сказал что «Этот сайт безопасный».
И сама идея сертификата превратилась в тыкву :(

По теме SMB. Некоторые провайдеры после эпидемии с петями и им подобными стали рубить SMB-трафик абонентам. Причем без возможности снятия блокировки (во всяком случае для физлиц). Лично сталкивался.
P.S. Я к тому, что это дополнительно усложняет взлом, но НЕ отменяет необходимость дополнительной защиты на своей стороне.

А HTML который содержит картинку image с SMB-шары уже не работает?
Only those users with full accounts are able to leave comments. Log in, please.