รายละเอียดประเด็นข้อตรวจพบ
จากการใช้เครื่องมือวิเคราะห์ช่องโหว่อัตโนมัติ ผู้ทดสอบพบว่าเป้าหมายที่กำลังทดสอบไม่มีการเปิดใช้งาน “SMB Signing” ซึ่งเพิ่มโอกาสความเสี่ยงในการดักจับข้อมูลของเครื่องให้บริการ
โดยปกติ “SMB Protocol” ถูกนำมาใช้สำหรับการสื่อสารของเครื่องพิมพ์ (Printer) และการโอนย้ายไฟล์ต่าง ๆ (File sharing) การไม่เปิดใช้งาน “SMB signing” อาจเปิดโอกาสให้ผู้ประสงค์ร้ายอาจจะทำการดักจับข้อมูลระหว่างภายในเครือข่ายเดียวกัน (Sniffing the network traffic) ซึ่งนำไปสู่ผู้ประสงค์ร้ายอาจขโมยข้อมูลสำหรับเข้าถึงระบบให้บริการ (Share session) เพื่อสวมรอยและเข้าไปแก้ไขข้อมูลหรือเปิดเผยข้อมูลต่อไปได้
ข้อแนะนำ
ปิดการให้บริการ “SMB Protocol” ถ้าไม่จำเป็นต้องใช้งาน ถ้าจำเป็นต้องใช้งาน ให้ทำการตั้งค่า “SMB Signing” – แนะนำให้ปิดการให้บริการ “SMB Protocol” ถ้าไม่จำเป็นต้องใช้งาน หรือใช้ “Firewall” และมี “Whitelist” อนุญาตเฉพาะบุคคลได้รับอนุญาตเข้าถึงเท่านั้น ถ้าจำเป็นต้องใช้งาน ให้ทำการตั้งค่า “SMB Signing”
ตัวอย่างการตั้งค่าให้ใช้งาน Message Signing และบังคับให้ใช้งาน (Required)
nmap -sS -v -A -p 445 localhost
Linux
- ไปที่ /etc/samba/smb.conf
- ตั้งค่าดังต่อไปนี้
[global]
protocol = smb2
client signing = mandatory
server signing = mandatory
Windows
- ไปที่ Administrative Tools และเลือก Local Security Policy
- ไปที่ \Security Settings\Local Policies\Security Options
- ไปที่ Microsoft network client: Digitally sign communications (always) และเลือก Enable
- ทดลอง Restart
อ้างอิงเพิ่มเติม
- https://www.tenable.com/plugins/nessus/57608
- https://manpages.ubuntu.com/manpages/precise/man5/smb.conf.5.html
- https://www.samba.org/samba/docs/current/man-html/smb.conf.5.html
- https://owasp.org/www-project-top-ten/2017/A6_2017-Security_Misconfiguration.html
- https://cwe.mitre.org/data/definitions/937.html
บทความที่เกี่ยวข้อง IT SELECT LAB