1997-ben Aaron Spangler felfedezett egy hibát az Internet Explorerben, ami lehetővé tette, hogy egy támadó ellopja a felhasználói adatainkat, kihasználva a Windows Server Message Block (SMB) protokoll egy hibáját. 18 évvel később a Cylance Spear kutatói, akik ismerték ezt a hibát, egy üzenetküldő alkalmazást teszteltek, amikor rájöttek, hogy sokkal nagyobb a baj, mint hitték. Egy olyan komoly sebezhetőséget fedeztek fel, ami legalább 31 szoftvert érint. (Ezeket lásd a cikk végén).
Az új sebezhetőség, az SMB átirányítás miatt a felhasználók adatait több windowsos alkalmazáson keresztül meg lehet szerezni, ha a támadó megtéveszti a szoftvert azzal, hogy elhiteti vele, valóban a hivatalos szerverrel kommunikál. Miután átirányítja az adatforgalmat egy másik szerverre, megszerezheti a felhasználó felhasználói nevét és a titkosított jelszavát is. Ha a támadó visszafejti a jelszó titkosítását, hozzáférhet a személyes adatainkhoz és a sebezhető alkalmazásainkhoz is.
A Cylance szerint a most felfedezett hiba úgynevezett “örök időktől fogva létező” sebezhetőség, mert az eredeti hiba az 1997-es felfedezése óta közismert volt, és állandó fenyegetést jelentett. Ezúttal viszont nagyobb a veszély. Míg a Spangler által felfedezett hiba csak az Internet Explorert érintette, az SMB átirányítás már az összes Windows-verzión futó szoftvereket érinti.
Mit jelent ez a gyakorlatban? Képzeljük el, hogy fellépünk egy internetkávézó publikus wifihálózatára a laptopunkkal. Meghallgatunk az iTunes-on egy számot, vagy a Symantec Norton víruskeresője felnéz a szerverre egy frissítésért, és máris bárki beléphet a gépünkre, aki egy úgynevezett beékelödéses támadással (man-in-the-middle attack) hozzáfér a hálózati adatforgalomhoz.
A Cylane vezető kutatója megemlítette, hogy miután felfedezték az SMB átirányítást, értesítették a Carnegie Mellon Egyetem tanszékét, akikkel közösen javították a hibát az általuk ismert szoftverekben. A sérülékenységet csak akkor fedték fel, amikor a javítás már elkészült. Cylane vezetője, nem tartja kizártnak, hogy a sérülékenység más szoftvereket is érint, de reméli, hogy az adatbiztonsággal foglalkozó közösség megtalálja ezeket.
A Microsoft még nem reagált a sebezhetőségre, javítás egyelőre nincs. A Cylance jelenleg workaround-ot javasol a problémára.
Az érintett szoftverek listája:
- Adobe Reader
- Apple QuickTime
- Apple Software Update (ez intézi az iTunes frissítéseit)
- Internet Explorer
- Windows Media Player
- Excel 2010
- Symantec’s Norton Security Scan
- AVG Free
- BitDefender Free
- Comodo Antivirus
- .NET Reflector
- Maltego CE
- Box Sync
- TeamViewer
- Github for Windows
- PyCharm
- IntelliJ IDEA
- PHP Storm
- JDK 8u31’ telepítője.
Linkek:
- http://www.forbes.com/sites/katevinton/2015/04/13/18-year-old-security-flaw-allows-hackers-to-steal-credentials-from-all-versions-of-windows/
- http://www.kb.cert.org/vuls/id/672268
- http://blog.cylance.com/redirect-to-smb
- https://technet.microsoft.com/en-us/library/security/974926.aspx
- https://technet.microsoft.com/en-us/library/security/973811.aspx
- https://technet.microsoft.com/en-us/library/jj865668(v=ws.10).aspx
- https://technet.microsoft.com/en-us/library/jj865676(v=ws.10).aspx
- http://blogs.technet.com/b/askds/archive/2009/10/08/ntlm-blocking-and-you-application-analysis-and-auditing-methodologies-in-windows-7.aspx
- https://msdn.microsoft.com/en-us/library/ms775122%28v=vs.85%29.aspx
- https://msdn.microsoft.com/en-us/library/ms775123%28v=vs.85%29.aspx
- https://msdn.microsoft.com/en-us/library/aa939357%28v=WinEmbedded.5%29.aspx
- https://msdn.microsoft.com/en-us/library/windows/desktop/aa385483%28v=vs.85%29.aspx
- https://technet.microsoft.com/library/jj852213(v=ws.10).aspx
- http://insecure.org/sploits/winnt.automatic.authentication.html
- http://cwe.mitre.org/data/definitions/201.html
- http://index.hu/tech/2015/04/14/18_eves_hibat_talaltak_a_windowsban/
