[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:01680] SMBrelay vs SMB署名

To: "port139ml@xxxxxxxxxxxxx" <port139ml@xxxxxxxxxxxxx>
Subject: [port139ml:01680] SMBrelay vs SMB署名
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Tue, 24 Dec 2002 15:24:16 +0900

Port139 伊原です。

Windows .NET Serverの最終ベータ版，
Win 95/NTマシンのドメイン参加を“デフォルト禁止”に
http://itpro.nikkeibp.co.jp/free/NBY/NEWS/20021219/1/

という記事が セキュリティホール memo で取り上げられてます。
JWNTUG BOF でも横山氏が RC2 でこの点が強化されているのをお話されて
ましたね。
で、ちょっと疑問に思ったのですがこれって SMBRelay への対策ですかね？

Penetration Testing Tip #1: SmbRelay captures NTLM hashes 
http://is-it-true.org/pt/ptips1.shtml

最近怠けてて SMBrelay をちゃんと調べてなかったりするんですが、SMB 署名
が有効な場合、チャレンジ/レスポンスの中継までは成功するけどセッションが
開始された後の署名ができないから中継できなくなる、という理解であってま
す？
＃認証までは C/R の中継でパスできると思いますけど、その後の署名には
＃ユーザーのパスワード ハッシュが必要になるから中継では署名できない
＃と考えてるんですけど間違ってるかな？

SMB 署名の式がどっかに記載されてた気がするんですけど、失念...

Windows NT で SMB 署名を有効にする方法 
http://support.microsoft.com/default.aspx?scid=kb;ja;161372


-- 
セミナー受講者募集中！< http://www.port139.co.jp/seminar/seminar_030122.htm >
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

Follow-Ups:
- [port139ml:01681] Re: SMBrelay vs SMB署名
  - From: Hideaki Ihara
- [port139ml:01688] Re: SMBrelay vs SMB署名
  - From: hamamoto
- [port139ml:01709] Re: SMBrelay vs SMB署名
  - From: Hideaki Ihara

Prev by Date: [port139ml:01679] FYI: @Random/1st
Next by Date: [port139ml:01681] Re: SMBrelay vs SMB署名
Previous by thread: [port139ml:01734] Re: FYI: @Random/1st
Next by thread: [port139ml:01681] Re: SMBrelay vs SMB署名
Index(es):
- Date
- Thread