Специалисты из компании Cylance SPEAR сегодня рассказали о мега-уязвимости во всех версиях Windows, включая мобильные, серверные и персональные версии, в том числе ещё не вышедшую Windows 10.
Хуже того, уязвимость Redirect to SMB затрагивает программное обеспечение как минимум от 31 компании, если их софт работает с соответствующими функциями Windows API. Вот некоторые из программ, которые пострадали от бага: Adobe Reader, Apple QuickTime, Apple Software Update, Internet Explorer, Windows Media Player, Excel 2010, Microsoft Baseline Security Analyzer, Symantec Norton Security Scan, AVG Free, BitDefender Free, Comodo Antivirus, .NET Reflector, Maltego CE, Box Sync, TeamViewer, Github for Windows, PyCharm, IntelliJ IDEA, PHP Storm, инсталлятор JDK 8u31 и многие другие.
“Redirect to SMB” — это способ получить учётные данные пользователя с помощью редиректа HTTP-запроса по протоколу file:// на сервер, принадлежащий злоумышленнику. Там Windows попытается авторизоваться по логину и паролю пользователя, тем самым сообщая их злоумышленнику. Хотя они передаются в зашифрованном виде, но могут быть расшифрованы перебором вариантов.
Баг известен как минимум с 14 марта 1997 года. Уже тогда выяснилось, что запросы типа file://1.1.1.1/ в браузере IE заставляют операционную систему авторизоваться на SMB-сервере с IP-адресом 1.1.1.1.
Список уязвимых функций Windows API
- URLDownloadA
- URLDownloadW
- URLDownloadToCacheFileA
- URLDownloadToCacheFileW
- URLDownloadToFileA
- URLDownloadToFileW
- URLOpenStream
- URLOpenBlockingStream
Многие программы используют HTTP-запросы для различных целей, например, для проверки наличия обновлений. Хакеру нужно только перехватить такой запрос (скажем, через MiTM-прокси на открытом WiFi-хотспоте) и перенаправить на свой SMB. Для этого ему понадобиться четыре программы, которые находятся в открытом доступе: SMBTrap2, SMBTrap-mitmproxy-inline.py, MITMProxy и Zarp.
Cylance SPEAR сообщила о баге в CERT ещё полтора месяца назад, и до сих пор они совместно с Microsoft и другими компаниями работали над тем, чтобы максимально смягчить последствия уязвимости для пользователей. В качестве временных мер предлагается блокировать исходящие SMB-соединения (TCP-порты 139 и 445), обновить групповую политику NTLM, не использовать аутентификацию NTLM по умолчанию в приложениях, установить стойкий пароль и чаще его менять.
