UNC-Hardening aktiv bei Euch? (MS15-011)

[daabm 1.431]

Sers. Mal wieder über einen Quirk gestolpert - schaut besser noch mal genau hin, wenn Ihr denkt, daß UNC-Hardening aktiv wäre. Windows 10 macht's von Haus aus, sofern man es nicht per GPO "kaputtkonfiguriert"...

https://evilgpo.blogspot.com/2023/07/unc-hardening-ms15-014-you-think-you.html

TL;DR: Das Leerzeichen hier muß raus - "RequireMutualAuthentication=1, RequireIntegrity=1"

bearbeitet 24. Juli 2023 von daabm

[NorbertFe 2.287]

Also so?

Zitat

"RequireMutualAuthentication=1,RequireIntegrity=1"

 

Falls ja, dann kann das entweder ja noch nie funktioniert haben und es hat auch nie jemand kontrolliert sondern nur den registry wert geprüft... :/

[daabm 1.431]

Jepp. Nicht mal die Security Audits der einschlägigen Firmen haben das auf dem Schirm...

[cj_berlin 1.509]

vor 18 Minuten schrieb daabm:

Jepp. Nicht mal die Security Audits der einschlägigen Firmen haben das auf dem Schirm...

Weil die besseren davon versuchen zu testen, was antwortet, und schauen nicht auf die Config. Aber ja, die CIS Benchmarks haben auch das Leerzeichen drin.

[NorbertFe 2.287]

Nerv… also schnell überall korrigieren in der config und in allen „Test-Tools“. Vielleicht war das ja im azure auch so. ;) ach haben wir gepatcht. Ups ein Leerzeichen Zuviel.

[q617 1]

Tja, wenn die zahlenden Kunden einfach die Qualitätssicherung der MS-Doku nicht durchführen.....

[daabm 1.431]

vor 21 Stunden schrieb cj_berlin:

Aber ja, die CIS Benchmarks haben auch das Leerzeichen drin.

Dann bin ich mal gespannt, was bei unserem nächsten Scan rauskommt Ich glaube nicht, daß das bei unserer Security auch schon angekommen ist - ich hab mal nix gesagt...
Und wir hatten ein Security Audit, wo das definitiv auf der Checkliste stand, aber da wird halt auch nur geschaut ob konfiguriert - ich wüßte auch nicht, wie man das "einfach und schnell" testen kann.

[MurdocX 1.004]

Gerade in den GPOs des DoD (STIG orientiert) nachgesehen. Dort ist das Leerzeichen auch drin. Jetzt bin ich neugierig 👀 geworden. 
 

Irgendwie schwer zu begreifen, dass das niemand kontrolliert hat.

[NorbertFe 2.287]

vor 1 Minute schrieb MurdocX:

Irgendwie schwer zu begreifen, dass das niemand kontrolliert hat.

Nö, das is wie immer. Einer schreibt vor (falsch) und alle anderen kontrollieren nicht, sondern übernehmen das. War da nicht auch was in openSSL oder so? ;)

[cj_berlin 1.509]

Ich habe ein Ticket beim CIS aufgemacht.

Und ich habe in meinem CIS-Überprüfungsskript nachgeschaut: Es hat den korrekten Vergleichswert drin.

[daabm 1.431]

Und ich hab's mal bei Heise als Redaktionstip gemeldet...

[daabm 1.431]

Qualys hat auch eine falsche Regex (matcht mit und ohne Leerzeichen), und in den Remediation Hinweise steht's falsch drin.

[daabm 1.431]

Sodele - Update: Manchmal glaubt man kaum, was alles passieren kann... Blogpost ist aktualisiert, "Rolle rückwärts" - man muß zu seinen Fehlern stehen 🙈

 

Die Anforderung, das zu implementieren, kam per Jira-Ticket zu uns. Da war aus unbekannten Gründen ein Zeilenumbruch - vermutlich kopiert aus einem PDF, und Textverarbeitung macht sowas ja gerne wegen Line Wrapping.

 

Den Wert habe ich einfach kopiert. Nach dem Einfügen sah alles in Ordnung aus:

Nur beim Durchfahren mit dem Cursor kann man noch feststellen, daß nach dem Leerzeichen erst mal keine Bewegung erfolgt -> unsichtbares Zeichen. Aber warum sollte man das tun?

 

Und im GPResult muß man auch gezielt hinschauen - das sind 2 Leerzeichen:

 

So gesehen: Unsere Schuld, nicht gründlich gearbeitet...

Allerdings natürlich trotzdem ein kleines Problem der ganzen Security/Compliance Scanner, die das nicht erkennen.

[NorbertFe 2.287]

OK, also doch ein Leerzeichen. 

[daabm 1.431]

Jupp - oder auch keins, vermutlich gehen auch mehrere.

Ironischerweise war es ausgerechnet der Ergebnisreport eines Pentest, der uns diesen Zeilenumbruch eingebrockt hat:

Die Textverarbeitung trennt am Leerzeichen wegen Zeilenumbruch -> CR/LF 🤔 Und dann Copy/Copy/Copy/Error...