Elke versie van Windows wordt beïnvloed door dit beveiligingslek - wat u erover kunt doen.

Wat zou u zeggen als we u zouden vertellen dat uw versie van Windows wordt beïnvloed door een kwetsbaarheid die dateert uit 1997? Helaas is dit waar. Microsoft heeft het nooit gepatcht. Jouw beurt!

Wat zou u zeggen als we u zouden vertellen dat uw versie van Windows wordt beïnvloed door een kwetsbaarheid die dateert uit 1997?  Helaas is dit waar.  Microsoft heeft het nooit gepatcht.  Jouw beurt!
Advertentie

Wat zou u zeggen als we u zouden vertellen dat uw versie van Windows wordt beïnvloed door een beveiligingslek Moet Google problemen melden voordat ze zijn beveiligd? Moet Google kwetsbaarheden melden voordat ze zijn gepatched? Waarom meldt Google zwakke plekken in Microsoft Windows? Is de manier van Google om hun competitie te leren efficiënter te werken? Hoe zit het met de gebruikers? Is de strikte naleving van deadlines door Google in ons belang? Meer lezen dateert uit 1997? Je zou lachen, toch? Zeker, Microsoft zou de fout eerder hebben opgelost voordat Windows 98, of ten laatste Windows 2000, werd vrijgegeven?

Nou ja, niet helemaal.

Deze redirect naar SMB-kwetsbaarheid heeft zijn wortels in de gelijknamige aanval die 18 jaar geleden door Aaron Spangler werd ontdekt. En het is een probleem waar u iets aan moet doen, omdat het niet alleen van invloed is op Windows, maar ook op programma's van Adobe, Apple, Symantec en zelfs het voorbeeld van Windows 10.

Doorverwijzing naar SMB: wat doet het?

Beïnvloeding van Windows-pc's, -tablets en -servers, omleiden naar SMB - ontdekt door Brian Wallace van Cylance - is een ontwikkeling van de oorspronkelijke kwetsbaarheid.

In 1997 ontdekte Spangler dat het introduceren van URL's beginnend met "bestand" ervoor zou zorgen dat Windows probeert authenticatie uit te voeren met een SMB-server op het opgegeven IP-adres (bijvoorbeeld bestand: //1.1.1.1), dat vervolgens kan worden gebruikt om aanmeldingsreferenties te registreren. Deze URL's kunnen worden geïntroduceerd als afbeeldingen, iframes of andere media die worden weergegeven door de browser.

muo-security-smb-password-diefstal

SMB is het protocol Server Message Block, meestal gebruikt voor het delen van bestanden, printers en seriële poorten in een netwerk. Verschillende versies zijn door de jaren heen vrijgegeven (Samba is een opensource Open Source-software en Forking: The Good, The Great and The Ugly Open Source Software en Forking: The Good, The Great and The Ugly Soms zijn de voordelen voor de eindgebruiker sterk van vorken. Soms is de vork gedaan onder een waas van woede, haat en vijandigheid. Laten we eens kijken naar enkele voorbeelden. Lees meer implementatie, hoewel er geen suggestie is dat de kwetsbaarheid daar bestaat) en het is al lang een doelwit geweest, met realtime scannen dat aantoont dat SMB een van de populairste aanvalsvectoren is voor online indringers. In december werd gemeld dat de Sony Pictures-hack was uitgevoerd met behulp van een SMB-beveiligingslek.

Doorverwijzing naar SMB werd ontdekt door het Cylance-team toen ze manieren probeerden te onderzoeken om een ​​chatclient te misbruiken.

"Toen een URL naar een afbeelding werd ontvangen, probeerde de client een voorbeeld van de afbeelding weer te geven. Geïnspireerd door het onderzoek van Aaron zo'n 18 jaar geleden, hebben we onmiddellijk een andere gebruiker een URL gestuurd die begon met file: //, wat wees naar een kwaadwillende SMB-server. Zeker genoeg probeerde de chatclient de afbeelding te laden en de Windows-gebruiker aan de andere kant trachtte zich te authenticeren met onze SMB-server.

"We hebben een HTTP-server in Python gemaakt die elke aanvraag beantwoordde met een eenvoudige HTTP 302-statuscode om clients om te leiden naar een bestand: // URL, en met dat we konden bevestigen dat een http: // -URL kon leiden tot een authenticatie poging van het OS. "

Het vraagt ​​niet veel om iemand te vragen om zijn inloggegevens in te voeren, het is gewoon een legitiem ogend dialoogvenster.

Hoe omleiding naar SMB tegen u kan worden gebruikt

Vier Windows API-functies kunnen worden gebruikt om een ​​HTTP- of HTTPS-verbinding om te leiden Wat is HTTPS en hoe beveiligde verbindingen per default in te schakelen Wat is HTTPS en hoe beveiligde verbindingen kunnen worden ingeschakeld Standaard beveiligingsproblemen komen wijd en zijd voor en hebben de voorhoede van de meesten bereikt ieders geest. Termen als antivirus of firewall zijn niet langer vreemde woordenschatten en worden niet alleen begrepen, maar ook gebruikt door ... Lees meer naar een SMB-verbinding, waar een kwaadwillende server kan wachten om gebruikersreferenties weg te sluizen en opnieuw te gebruiken voor schandelijke doeleinden.

Brian Wallace legt uit dat Redirect voor SMB om succesvol te zijn, de aanvaller redelijk geavanceerd moet zijn omdat er een vereiste is om "een deel van het netwerkverkeer van een slachtoffer te controleren".

Hij wijst er ook op dat de bedreigingen kunnen komen in de vorm van schadelijke advertenties die authenticatiepogingen afdwingen, en Redirect to SMB kan ook worden gebruikt in een rit door hack op openbare Wi-Fi-netwerken (gevaarlijk op het beste moment 3 Gevaren van aanmelden Naar openbare wifi 3 Gevaren om in te loggen bij openbare wifi Je hebt gehoord dat je geen PayPal, je bankrekening en mogelijk zelfs je e-mail moet openen tijdens het gebruik van openbare wifi. Maar wat zijn de werkelijke risico's? Lees meer), gelanceerd vanaf een draagbare computer en zelfs een Android-smartphone.

Potentieel een van de gevaarlijkste aanvalsvectoren die door Redirect naar SMB wordt ontketend, is via Apple's iTunes Software Updater. In dit scenario een gecompromitteerde DNS-record Uw DNS-servers wijzigen en internetbeveiliging verbeteren Uw DNS-servers wijzigen en internetbeveiliging verbeteren Stel u dit eens voor: u wordt één mooie ochtend wakker, schenkt uzelf een kopje koffie en gaat zitten om uw computer om aan de slag te gaan met uw werk voor vandaag. Voordat je daadwerkelijk ... Lees meer zou ertoe kunnen leiden dat updates naar een SMB-server worden doorgestuurd, met als resultaat dat inloggegevens worden verwerkt via een klassieke Man-in-The-Middle-aanval. Wat is een man-in-het-midden Aanval? Beveiliging Jargon verklaarde wat een man-in-het-middenaanval is? Beveiliging Jargon uitgelegd Als je hebt gehoord van "man-in-the-middle" -aanvallen, maar niet helemaal zeker bent wat dat betekent, is dit het artikel voor jou. Lees verder .

Simpel gezegd, dit is een kwetsbaarheid die 18 jaar geleden zou moeten zijn afgesloten. Hoewel Microsoft manieren bood om het te verzachten, is de oppositie - de zwarte hoeden - veel geavanceerder geworden in hun aanvallen, waarbij steeds meer internetgebruikers een grote betaaldag vertegenwoordigen. Het lijkt nu dat het tijd is voor Microsoft om zijn actie te ondernemen op het gebied van SMB-beveiliging.

Software die wordt beïnvloed door Re-Direct aan SMB

Oké, het is diep ademend. Evenals elke versie van Windows in het midden van de jaren negentig heeft Redirect to SMB ook invloed op een brede selectie van applicaties en systeemhulpprogramma's (ten minste 31) van enkele van de grootste namen in de branche. Om te beginnen, Microsoft en Apple.

Microsoft:

  • Internet Explorer 11
  • Windows Media Speler
  • Excel 2010
  • Microsoft Baseline Security Analyzer

Appel:

  • Snelle tijd
  • Apple iTunes-software-update

Frustrerend genoeg voor een dergelijke kwetsbaarheid, wordt beveiligingssoftware ook getroffen.

  • Symantec Norton Security Scan
  • AVG gratis
  • BitDefender gratis
  • Comodo Antivirus

Productiviteitsapps waarvan bekend is dat ze kwetsbaar zijn om door te sturen naar SMB:

muo-security-smb-password-boxsync

  • Adobe Reader
  • Box Sync (de Box.net-cloudclient-app)
  • Teamview

Deze hulpprogramma's en installatieprogramma's worden ook getroffen:

  • .NET Reflector
  • Maltego CE
  • GitHub voor Windows
  • PyCharm
  • IntelliJ IDEA
  • PHP Storm
  • Installatieprogramma van Oracle JDK 8u31

Zoals je ziet is dit een hele lijst, met elke applicatie een mogelijke toegangspoort tot je inloggegevens voor een aanvaller. Maar wat kun je eraan doen?

Tijdelijke oplossing, of wacht op een patch?

Microsoft zou een patch gebruiken om de redirect naar SMB-kwetsbaarheid te herstellen. Maar tot dat gebeurt, wat kun je doen?

muo-security-smb-password-windows-firewall

Zoals gerapporteerd door cyberbeveiligingsexperts Cylance, is de beste oplossing het blokkeren van verkeer dat vanaf uw computer is verzonden via uw softwarefirewall of via uw router, op TCP 139 en TCP 445. Hiermee wordt de SMB-communicatie tussen uw netwerk en internet geblokkeerd en als de Er wordt een wijziging aangebracht in de netwerkfirewall, u kunt nog steeds SMB gebruiken tussen apparaten in uw lokale netwerk. Onze gids voor Windows Firewall legt uit hoe u deze regels kunt maken Windows 7 Firewall: hoe het zich verhoudt ten opzichte van andere firewalls Windows 7 Firewall: hoe het zich verhoudt tot andere firewalls Windows 7 bevat een onopvallende, gebruiksvriendelijke firewall die uw computer beschermt tegen inkomende verkeer. Als u op zoek bent naar geavanceerdere opties, zoals de mogelijkheid om uitgaand verkeer te beheren of de toepassingen te bekijken met uw ... Lees meer in slechts een paar seconden; voor uw router, moet u de documentatie van het apparaat controleren.

Gezien de breedte van besturingssystemen en applicaties die door dit beveiligingslek worden getroffen en met de naderende komst van Windows 10, is het niet hoog tijd dat Microsoft er iets aan heeft gedaan?

Image Credits: wachtwoord via Shutterstock

In this article