Уязвимость Redirect to SMB затрагивает все версии Windows

Уязвимость Redirect to SMB затрагивает все версии Windows

Эксплуатация бреши позволяет похищение учетных данных пользователя.

Эксперты компании Cylance SPEAR   сообщили  о серьезной уязвимости, эксплуатация которой позволяет похищение пароля и логина. Брешь затрагивает все версии операционной системы Windows, включая мобильные, серверные и персональные, в том числе еще не вышедшую Windows 10. Более того, уязвимыми являются программные продукты по крайней мере 31 компании, в том числе Adobe, Apple, Box, Microsoft, Oracle и Symantec.

Вот неполный список уязвимого ПО: Adobe Reader, Apple QuickTime, Apple Software Update, Internet Explorer, Windows Media Player, Excel 2010, Microsoft Baseline Security Analyzer, Symantec Norton Security Scan, AVG Free, BitDefender Free, Comodo Antivirus, .NET Reflector, Maltego CE, Box Sync, TeamViewer Github для Windows, PyCharm, IntelliJ IDEA, PHP Storm, инсталлятор Oracle JDK 8u31 и др.

Redirect to SMB – это способ получить учетные данные пользователя с помощью перенаправления HTTP-запроса по протоколу file:// на SMB-сервер, принадлежащий злоумышленнику. На то, чтобы взломать учетную запись, атакующему понадобится всего несколько часов. Добытые таким образом логин и пароль могут быть использованы для взлома личных аккаунтов, похищения данных, получения контроля над ПК и т.д.

Как утверждают эксперты, о данной уязвимости известно еще с 1997 года. Уже тогда появилась информация, что запросы типа file://1.1.1.1/ в браузере IE заставляют операционную систему авторизоваться на SMB-сервере с IP-адресом 1.1.1.1.

Перечень уязвимых функций Windows API:

  • URLDownloadA;
  • URLDownloadW;
  • URLDownloadToCacheFileA;
  • URLDownloadToCacheFileW;
  • URLDownloadToFileA;
  • URLDownloadToFileW;
  • URLOpenStream;
  • URLOpenBlockingStream.

Многочисленное ПО использует HTTP-запросы для различных целей, например, для проверки наличия обновлений. Все, что потребуется сделать злоумышленнику, это перехватить такой запрос и перенаправить его на свой SMB-сервер.

Специалисты Cylance SPEAR сообщили о найденной уязвимости консультативной группе безопасности CERT Университета Карнеги-Меллона еще шесть недель назад. Все это время CERT совместно с Microsoft и другими компаниями работала над методами максимального смягчения последствий для пользователей. Пока Microsoft не выпустит обновление с исправлением уязвимости Redirect to SMB в качестве временного решения  предлагается  блокировать исходящие SMB-соединения (TCP-порты 139 и 445), обновить групповую политику NTLM, не использовать аутентификацию NTLM по умолчанию в приложениях, использовать сильные пароли и чаще их менять.

Ученые доказали: чтение нашего канала продлевает жизнь!

Ладно, не доказали. Но мы работаем над этим

Поучаствуйте в эксперименте — подпишитесь