Boffin Segurança Brian Wallace reviveu um bug de 18 anos, o Windows afetando pelo menos 31 maiores fornecedores para, permitindo uma usernames e senhas attackersteal de milhões de caixas da Microsoft.
A vulnerabilidade respun apelidado Redirecionar para SMB requer vítimas para visitar ou ser empurrada para um servidor malicioso que pode roubar credenciais criptografadas para mais tarde-obrigando bruta.
Redmond mudou-se para apagar a vulnerabilidade 1997 dizendo Reuters abordou a falha em 2009, com a segurança orientação sobre as melhores práticas e a liberação de Proteção Estendida para Autenticação.
Wallace (@ botnet_hunter ) diz que não há correção para qualquer falha e pediu Microsoft para emitir um patch, acrescentando fornecedores afetados incluem a Apple, Adobe e Oracle.
"Redirecionar para SMB é uma maneira para os atacantes para roubar credenciais de usuários valiosos sequestrando comunicações com servidores web legítimos via ataques man-in-the-middle (MITM), em seguida, enviá-los para SMB malicioso (Server Message Block) servidores que os forçam a cuspir da vítima nome de usuário, domínio e senha de hash ", diz Wallace em um comunicado.
"Redirecionar para SMB é mais provável de ser usado em ataques direcionados por atores avançadas porque os atacantes devem ter controle sobre algum componente de tráfego de rede da vítima.
"Anúncios maliciosos poderiam também ser trabalhada que forçaria as tentativas de autenticação de usuários do Internet Explorer ao esconder comportamento malicioso daqueles exibindo a publicidade."
Atacantes mudos só poderia atacar as vítimas mais comuns de pontos de acesso WiFi em Starbucks, Maccas ou aeroportos, mesmo a partir de fondleslabs; Wallace diz que trabalha usando um Nexus 7 levantado com ferramentas de hacking.
É um "ataque simples com resultados inegáveis", Wallace diz em um documento técnico sobre a falha ( pdf ).
CERT da Carnegie Mellon diz software Windows que utiliza as solicitações HTTP podem ser enviadas para o arquivo: // protocolos em um servidores maliciosos onde a autenticação SMB automática ocorre.
Muitos produtos de software usam solicitações HTTP para vários recursos, como a verificação de atualização de software. Um usuário mal-intencionado pode interceptar esses pedidos (como com um proxy MITM) e usar HTTP Redirecionar para redirecionar a vítima um servidor SMB malicioso.Se o redirecionamento é um file: // URL e que a vítima está executando o Microsoft Windows, o Windows tentará automaticamente para autenticação no servidor SMB malicioso, fornecendo as credenciais do usuário da vítima para o servidor. Essas credenciais podem ser registrados pelo servidor malicioso. As credenciais são criptografadas, mas pode ser brute-forçados a quebrar a criptografia.
Aplicativos afetados incluem Adobe Reader; Tempo rápido; Apple Software Update; Internet Explorer, Windows Media Player; Excel 2010; Microsoft Baseline Security Analyzer; Norton Security Scan; AVG Free; BitDefender Free; Github para Windows, Comodo Antivirus, e Maltego Community Edition para citar alguns. ®
Os usuários podem bloquear o tráfego de saída de TCP 139 e TCP 445 usando firewalls para bloquear toda a comunicação SMB que podem matar recurso SMB.
"Esperamos que nossa pesquisa possa obrigar a Microsoft a reconsiderar as vulnerabilidades e desativar a autenticação com servidores SMB não confiáveis. Isso iria bloquear os ataques identificados por Spangler, bem como o novo Redirect para atacar SMB", diz Wallace.
Nenhum comentário:
Postar um comentário