O que você diria se disséssemos que sua versão do Windows é afetada por uma vulnerabilidade? A Google deve divulgar vulnerabilidades antes de serem corrigidas? O Google deve anunciar vulnerabilidades antes de serem corrigidos? Por que as vulnerabilidades de relatórios do Google no Microsoft Windows? Essa maneira do Google de ensinar sua competição é mais eficiente? E os usuários? A adesão estrita do Google aos prazos é do nosso melhor interesse? Leia mais que remonta a 1997? Você riria, certo? Certamente, afinal, a Microsoft teria corrigido a falha antes de liberar o Windows 98 ou, o mais tardar, o Windows 2000?
Bem, não é bem assim.
Esta vulnerabilidade Redirecionar para SMB tem suas raízes no ataque com nome idêntico descoberto por Aaron Spangler há 18 anos. E é um problema que você precisa fazer, porque não afeta apenas o Windows, mas também programas da Adobe, Apple, Symantec e até mesmo a prévia do Windows 10.
Redirecionar para SMB: o que isso faz?
Afetando PCs, tablets e servidores Windows, o Redirect to SMB - descoberto por Brian Wallace, da Cylance - é um desenvolvimento da vulnerabilidade original.
Em 1997, Spangler descobriu que a introdução do URLS começando com “arquivo” faria com que o Windows tentasse autenticação com um servidor SMB no endereço IP fornecido (por exemplo, arquivo: //1.1.1.1), que poderia ser usado para registrar credenciais de login. Esses URLs podem ser apresentados como imagens, iframes ou qualquer outra mídia exibida pelo navegador.
SMB é o protocolo Server Message Block, usado principalmente para compartilhar arquivos, impressoras e portas seriais em uma rede. Várias versões foram lançadas ao longo dos anos, (Samba é um software open source de código aberto e bifurcação: o bom, o grande e o software de código aberto feio e bifurcação: o bom, o grande e o feio às vezes, os benefícios do usuário final Muitas vezes, a bifurcação é feita sob uma mortalha de raiva, ódio e animosidade.Vejamos alguns exemplos.Leia mais implementação, embora não haja sugestão de que a vulnerabilidade existe lá) e tem sido um alvo de longa data, com varredura em tempo real, demonstrando que o SMB é um dos vetores de ataque mais populares para intrusos on-line. Foi relatado em dezembro que o hack da Sony Pictures foi executado usando uma vulnerabilidade SMB.
O redirecionamento para o SMB foi descoberto pela equipe do Cylance enquanto investigavam maneiras de abusar de um cliente de bate-papo.
“Quando um URL para uma imagem foi recebido, o cliente tentou mostrar uma pré-visualização da imagem. Inspirado pela pesquisa de Aaron há 18 anos, nós imediatamente enviamos a outro usuário uma URL começando com file: // que apontava para um servidor SMB malicioso. Certamente, o cliente de chat tentou carregar a imagem, e o usuário do Windows na outra ponta tentou autenticar com o nosso servidor SMB.
“Criamos um servidor HTTP no Python que respondeu a todas as solicitações com um código de status HTTP 302 simples para redirecionar clientes para um URL file: // e, com isso, pudemos confirmar que uma URL http: // poderia levar a uma autenticação tentativa do SO. ”
Não é preciso muito para pedir a alguém para inserir suas credenciais, afinal de contas - apenas uma caixa de diálogo de aparência legítima.
Como redirecionar para SMB pode ser usado contra você
Quatro funções da API do Windows podem ser usadas para redirecionar uma conexão HTTP ou HTTPS O que é HTTPS e como ativar conexões seguras por padrão O que é HTTPS e como ativar conexões seguras por padrão As preocupações com segurança estão se espalhando por toda parte e atingiram a vanguarda da maioria a mente de todos. Termos como antivírus ou firewall não são mais um vocabulário estranho e não são apenas entendidos, mas também usados por ... Leia mais para uma conexão SMB, onde um servidor mal-intencionado pode aguardar para desviar as credenciais do usuário e reutilizá-las para fins nefastos.
Brian Wallace explica que, para o Redirect to SMB ser bem-sucedido, o invasor deve estar razoavelmente avançado, pois há um requisito para "controlar ... algum componente do tráfego de rede da vítima".
Ele também aponta que as ameaças podem vir na forma de anúncios maliciosos forçando tentativas de autenticação, e Redirecionar para SMB também pode ser usado em uma unidade por hack em redes Wi-Fi públicas (perigoso na melhor das hipóteses 3 Perigos de fazer logon Para o público Wi-Fi 3 Perigos de fazer logon no Wi-Fi público Você já ouviu falar que você não deve abrir o PayPal, sua conta bancária e, possivelmente, até mesmo seu e-mail enquanto estiver usando o WiFi público. Mas quais são os riscos reais?, lançado a partir de um computador portátil e até mesmo um smartphone Android.
Potencialmente, um dos vetores de ataque mais perigosos liberados pelo Redirect para SMB é através do iTunes Software Updater, da Apple. Nesse cenário, um registro DNS comprometido Como alterar seus servidores DNS e melhorar a segurança na Internet Como alterar seus servidores DNS e melhorar a segurança na Internet Imagine isso - você acorda em uma linda manhã, serve uma xícara de café e depois senta na seu computador para começar a trabalhar com o seu dia. Antes de você realmente obter ... Leia mais poderia levar a redirecionar as atualizações sendo direcionadas para um servidor SMB, novamente com o resultado que as credenciais são cultivadas através de um ataque Man-in-the-middle clássico que é um Man-in-the-middle Ataque? Jargão de Segurança Explicado O Que É um Ataque Man-in-the-Middle? Jargão de Segurança Explicado Se você já ouviu falar de ataques "man-in-the-middle", mas não tem certeza do que isso significa, este é o artigo para você. Consulte Mais informação .
Simplificando, esta é uma vulnerabilidade que deveria ter sido encerrada há 18 anos. Embora a Microsoft tenha oferecido maneiras de mitigá-la, a oposição - os black hats - tornou-se muito mais sofisticada em seus ataques, com cada vez mais usuários da Internet representando um grande dia de pagamento. Agora parece ser a hora de a Microsoft agir em conjunto na segurança das pequenas e médias empresas.
Software afetado por redirecionar para SMB
Ok, é o tempo de respiração profunda. Assim como todas as versões do Windows em meados dos anos 90, o Redirect to SMB também afeta uma ampla seleção de aplicativos e utilitários de sistema (pelo menos 31) de alguns dos maiores nomes do setor. Para começar, Microsoft e Apple.
Microsoft:
- Internet Explorer 11
- Windows Media Player
- Excel 2010
- Analisador de Segurança do Microsoft Baseline
Maçã:
- Tempo rápido
- Atualização de Software Apple iTunes
Frustrantemente por uma vulnerabilidade desse tipo, o software de segurança também é afetado.
- Symantec Norton Security Scan
- AVG Free
- BitDefender Grátis
- Antivírus Comodo
Aplicativos de produtividade que são conhecidos por serem vulneráveis ao redirecionamento para SMB:
- Adobe Reader
- Box Sync (o aplicativo cliente da nuvem Box.net)
- TeamView
Esses utilitários e instaladores também são afetados:
- Refletor .NET
- Maltego CE
- GitHub para Windows
- PyCharm
- IntelliJ IDEA
- Tempestade PHP
- Instalador do Oracle JDK 8u31
Como você pode ver, essa é uma lista completa, com cada aplicativo um possível gateway para suas credenciais para um invasor. Mas o que você pode fazer sobre isso?
Solução alternativa ou Aguarde um patch?
Dizem que a Microsoft está trabalhando em um patch para corrigir a vulnerabilidade Redirect to SMB. Mas até que isso aconteça, o que você pode fazer?
Conforme relatado pelos especialistas em segurança cibernética Cylance, a melhor solução é bloquear o tráfego enviado do computador pelo firewall do software ou pelo roteador, no TCP 139 e TCP 445. Isso bloqueará a comunicação entre a rede ea Internet, e se o Se a alteração for feita no firewall da rede, você ainda poderá usar o SMB entre os dispositivos da sua rede local. Nosso guia do Firewall do Windows explica como criar essas regras Firewall do Windows 7: como ele se compara a outros firewalls Firewall do Windows 7: como se compara a outros firewalls O Windows 7 contém um firewall discreto e fácil de usar que protege seu computador da entrada tráfego. Se você está procurando opções mais avançadas, como a capacidade de controlar o tráfego de saída ou ver os aplicativos usando o seu ... Leia mais em apenas alguns segundos; para o seu roteador, você precisará verificar a documentação do dispositivo.
Dada a amplitude dos sistemas operacionais e aplicativos afetados por essa vulnerabilidade e com a iminente chegada do Windows 10, não é hora de a Microsoft fazer algo a respeito?
Créditos da Imagem: Senha via Shutterstock