ช่องโหว่การไม่เปิดใช้งาน SMB Signing (SMB Signing Not Required)

รายละเอียดประเด็นข้อตรวจพบ

จากการใช้เครื่องมือวิเคราะห์ช่องโหว่อัตโนมัติ ผู้ทดสอบพบว่าเป้าหมายที่กำลังทดสอบไม่มีการเปิดใช้งาน “SMB Signing” ซึ่งเพิ่มโอกาสความเสี่ยงในการดักจับข้อมูลของเครื่องให้บริการ

โดยปกติ “SMB Protocol” ถูกนำมาใช้สำหรับการสื่อสารของเครื่องพิมพ์ (Printer) และการโอนย้ายไฟล์ต่าง ๆ (File sharing) การไม่เปิดใช้งาน “SMB signing” อาจเปิดโอกาสให้ผู้ประสงค์ร้ายอาจจะทำการดักจับข้อมูลระหว่างภายในเครือข่ายเดียวกัน (Sniffing the network traffic) ซึ่งนำไปสู่ผู้ประสงค์ร้ายอาจขโมยข้อมูลสำหรับเข้าถึงระบบให้บริการ (Share session) เพื่อสวมรอยและเข้าไปแก้ไขข้อมูลหรือเปิดเผยข้อมูลต่อไปได้

ข้อแนะนำ

ปิดการให้บริการ “SMB Protocol” ถ้าไม่จำเป็นต้องใช้งาน ถ้าจำเป็นต้องใช้งาน ให้ทำการตั้งค่า “SMB Signing” – แนะนำให้ปิดการให้บริการ “SMB Protocol” ถ้าไม่จำเป็นต้องใช้งาน หรือใช้ “Firewall” และมี “Whitelist” อนุญาตเฉพาะบุคคลได้รับอนุญาตเข้าถึงเท่านั้น ถ้าจำเป็นต้องใช้งาน ให้ทำการตั้งค่า “SMB Signing”

ตัวอย่างการตั้งค่าให้ใช้งาน Message Signing และบังคับให้ใช้งาน (Required)

nmap -sS -v -A -p 445 localhost  

Linux

- ไปที่ /etc/samba/smb.conf
- ตั้งค่าดังต่อไปนี้
[global]
  protocol = smb2
  client signing = mandatory
  server signing = mandatory

Windows

- ไปที่ Administrative Tools และเลือก Local Security Policy
- ไปที่ \Security Settings\Local Policies\Security Options
- ไปที่ Microsoft network client: Digitally sign communications (always) และเลือก Enable
- ทดลอง Restart

อ้างอิงเพิ่มเติม

บทความที่เกี่ยวข้อง IT SELECT LAB