Comments | ru_sysadmins: windows vpn? yes problem!

craftwr in ru_sysadmins

windows vpn? yes problem!

Aug 07, 2016 13:20

Я тебя по ip вычислю! (с)
Это просто праздник какой-то! (с)
Песец, как известно подкрадывается очень тихо. Из-за бага в API Windows, которому без малого 20 лет, можно развести пользователя (без социальной инженерии обойтись тут тоже не получится, но варианты есть) подсунув ссылку в письме которая ведет на сайт с эксплоитом или перенаправить юзвера ( Read more... )

паника, провирусы, альтернатива, пятница

Comments 33

sakurovskiy August 7 2016, 10:22:09 UTC

последний пароль у него уже украли, вовней в безопасности.

nicusor August 7 2016, 10:51:48 UTC

вовней уже неделю как нопесал

ru-sysadmins. livejournal. com/2536532.html?style=mine

craftwr August 7 2016, 10:54:49 UTC

вовней писал о маскировке.

vovney August 7 2016, 11:50:58 UTC

Lol

01petr August 7 2016, 11:27:17 UTC

> При открытии ссылки на SMB-ресурс

если зафильтрован доступ к портам 445 139 скорее всего атака провалится.
раньше провайдеры активно фильтровали эти порты.

а в чем опасность? в деанонимизации? подозреваю в сети есть множество других работоспособных способов.

vovney August 7 2016, 11:52:22 UTC

Опасность в том, что хеш тю-тю

А так как у большинства хеш очень слабый, то и пароли тютю

А так как у многих еще и 2fa нету, то...

^ _ ^

karpion August 7 2016, 13:08:01 UTC

Ну и куда можно будет применить этот пароль? К контроллеру домена? Ну так нефиг выставлять контроллер домена (да и раб.станции тоже) мордой наружу!

Хотя если сам злодей или его агент есть внутри защитного периметра - то ой-вэй, туши свет... ;(

vladgr August 7 2016, 15:14:51 UTC

"К контроллеру домена? "
К почте, фтп, корпоративному порталу. Другое дело, что при нормально настроенном файрволе наружу хеш никогда не попадет.

vovney August 7 2016, 15:26:15 UTC

И много вы компаний знаете, у которых не попадет?))))

vladgr August 7 2016, 15:30:39 UTC

Насчет Вашей компании сомнений не было!

Thread 9

saint_erasty August 8 2016, 05:48:07 UTC

"При открытии ссылки на SMB-ресурс в браузере Internet Explorer, Edge..."

Дальше можно не читать.

vovney August 8 2016, 09:53:41 UTC

Что дальше не читать? Какой процент трафика из крупных компаний идет на внешку как раз через IE? Больше 50 точно, потому что всякое говно типа SP или SAP BW требует как раз IE + ActiveX
Можно конечно совсем извращаться, и сделать принудительно: IE intranet ONLY, а на внешку Chrome или Firefox с централизованным управлением.

Меня другое волнует. А эта штука работает в почте? Приходит письмо, там картиночки неактивны, но есть кнопка Скачать картиночки. Вот если ее нажать - ведь движок отрабатывает как раз чере IE, если тот по дефолту?? Если так работает - это просто пиздец

saint_erasty August 8 2016, 10:58:23 UTC

"А эта штука работает в почте?"
Вот тут поподробнее, что имеется в виду под словом "почта".

vovney August 8 2016, 11:02:13 UTC

Вот из оргинальной статьи:
https://habrahabr.ru/post/306810/

"Эксплуатация с целью деанонимизации - поинтересней. Учетка будет отправляться со страниц сайта, если жертва использует Internet Explorer, или при клике внутри письма, в случае с Outlook. Почти все веб-интерфейсы почтовых служб фильтруют картинки со схемой file:// при выводе письма (схема file:// является аналогом схемы \\), но не Яндекс, который не считает это своей уязвимостью (что, в общем-то, корректно). Деанонимизация с использованием почты более опасна, т.к. дает связь не только IP-адреса с аккаунтом Windows, но и с почтой."

Как я понимаю, для картинок в Outlook например юзается как раз метод file://
И если по дефолту стоит браузер IE, то после клика "скачать картинки" - хеш уедет

Thread 18