Уязвимость BadTunnel в NetBIOS позволяет осуществить перехват всего web-трафика

image

Теги: перехват трафика, атака, Windows

Атака возможна даже при наличии защитных механизмов, таких как межсетевой экран и NAT-устройства.

Исследователь команды Tencent Xuanwu Lab Янг Ю обнаружил серьезную ошибку дизайна в реализации протокола NetBIOS, затрагивающую все версии Windows, включая последнюю редакцию ОС. Проэксплуатировав ошибку, получившую название BadTunnel, злоумышленник может сымитировать WPAD- или ISATAP-сервер и перехватить весь сетевой трафик, в том числе HTTP- и HTTPS-трафик, обновления ОС и ПО, обновления списка отозванных сертификатов, а также другие операции техобслуживания операционной системы.

По словам Янг Ю, для осуществления атаки злоумышленнику необязательно находиться внутри компьютерной сети жертвы. Более того, атака возможна даже при наличии защитных механизмов, таких как межсетевой экран и NAT-устройства. Как пояснил исследователь в беседе с журналистом ресурса DarkReading, уязвимость BadTunnel – не типичная конфигурационная ошибка, а, скорее, совокупность нескольких факторов. Уязвимость вызвана спецификой использования операционной системой, а также межсетевыми экранами и NAT-устройствами протоколов транспортного уровня и уровня приложений.

Злоумышленник может проэксплуатировать BadTunnel, используя все версии интернет-обозревателей Microsoft Edge, Internet Explorer, а также сторонние приложения, установленные в Windows.

Эксперт описал примерный сценарий атаки: используя методы социальной инженерии преступник может заставить жертву посетить вредоносную интернет-страницу или открыть вредоносный документ, что позволяет ему перехватить трафик жертвы. Более полную презентацию атаки Янг Ю пообещал представить в рамках конференции Black Hat USA, которая пройдет с 30 июля по 4 августа.

В рамках планового «вторника исправлений» компания Microsoft  выпустила 16 бюллетеней безопасности, устраняющих ряд уязвимостей в программных продуктах, в том числе ошибку BadTunnel. Отметим, для устранения данной уязвимости требуется установить два патча - MS16-077 и MS16-063. Однако проблема остается актуальной для версий ОС, поддержка которых уже прекращена (Windows XP, Windows Server 2003 и пр.). Янг Ю рекомендует как можно скорее установить корректирующие обновления или отключить NetBIOS.

 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.