18 år gammel Windows-fejl giver angribere mulighed for at høste legitimationsoplysninger

Billede: Cylance

Denne uge afslørede sikkerhedsforskere på Cylance en sårbarhed i Server Message Block (SMB), der giver angribere mulighed for at høste brugeroplysninger fra enhver Windows-computer, server eller tablet, inklusive dem, der kører Windows 10 Technology Preview.

Angrebet er relativt trivielt at udføre, hvilket kræver, at brugeren indtaster en ondsindet "fil: //" URL, klikker på et lignende ondsindet link eller bruger et hvilket som helst program, der automatisk kan forsøge at indlæse et sådant link, såsom at generere en miniature til en linket billede på en ondsindet kodet side. Adgang til dette link fører til et godkendelsesforsøg fra Windows. Når det kombineres med et mand-i-midten-angreb, kan denne udnyttelse bruges til at fange brugeroplysninger.

Ifølge Brian Wallace hos Cylance:

Hvordan dette påvirker dig

Som slutbruger vil dette sandsynligvis ikke påvirke dig så meget. Det er dog stadig tilrådeligt at blokere udgående trafik på TCP 139 og 445 i din firewall.

Den reelle risiko er for brugere på et virksomheds intranet. Hvis brugeroplysninger kan fås og adgangskoder krakket, ville det give angriberen adgang til delte filer. Potentialet for misbrug med SMB er meget stort, da malware, der udnytter SMB-forbindelser, blev brugt i det bredt anerkendte angreb på Sony Pictures Entertainment i december 2014.

De programmer, der er berørt af denne udnyttelse

Da flere Windows API-funktioner er sårbare over for denne udnyttelse, er en lang række programmer - især dem, der har en selvopdateringsmekanisme eller brugsrapporteringsværktøj - modtagelige for denne udnyttelse. Cylance rapporterer, at Microsoft-programmer, der er sårbare over for denne udnyttelse, er Windows Media Player, Excel 2010 og Microsoft Baseline Security Analyzer. Programmer fra tredjepartsleverandører, der bruger de sårbare Windows API-opkald, er Adobe Reader, Apple Software Update, Box Sync, Github til Windows, AVG Free, Comodo Antivirus, BitDefender Free og Symantec Norton Security Scan.

Som et mand-i-midten-angreb er det muligt at udnytte denne sårbarhed gennem browserinjektion eller en ondsindet router eller DNS-server, med Cylance som antyder, at URL-forhåndsvisninger i nogle programmer såvel som ondsindet designede dokumenter kan bruges til udnyttelsen såvel. Det er vigtigt, at denne sårbarhed ikke kræver bevidst deltagelse fra slutbrugeren, da ting som falske annonceservere kan bruges til at udføre udnyttelsen til at høste brugeroplysninger.

Når en rettelse vil være tilgængelig

Hvis du ikke har et behov for SMB-funktionalitet, er dit bedste alternativ at blokere udgående trafik på TCP 139 og 445 i din firewall. Hvis du gør det og venter på en officiel rettelse fra Microsoft, skal du forberede dig på at blive skuffet.

Dette problem er strukturelt identisk med en sårbarhed, der blev afsløret for 18 år siden i Windows 95 og NT 4.0 af sikkerhedsforsker Aaron Spangler. Som sådan insisterer en Microsoft-repræsentant på, at dette spørgsmål ikke er nyt, og tilsyneladende misforstår arten og detaljerne i sårbarheden, baseret på denne erklæring i en CNET-artikel:

For at gentage: i henhold til hvidbogen fra Cylance kræver det ikke, at brugeren indtaster nogen oplysninger.

Er disse legitimationsoplysninger krypteret?

Heldigvis er svaret på det spørgsmål ja - bare ikke særlig godt. Efter den første rapport fra Spangler i 1997 blev krypteringsmetoden i SMB ændret til en algoritme kendt som NetNTLMv2. Fordelen ved dette er, at det var sikkert i 1998 og ikke er svagt overfor regnbueborde, da det blev genereret med to salte.

Cylance peger på oclHashcat, et gratis GPU-accelereret password-cracking-værktøj. For den anvendte algoritme, et tilfælde, der bruger otte AMD R9 290X GPU'er, ville et brute force-angreb tage mindre end 9, 5 timer at gætte "hvert otte tegn-kodeord, der består af bogstaver (store og små bogstaver) og tal, " men bemærker, at dette er en sidste udvej metode.

Hvad er din mening?

Er Microsofts reaktion på og håndtering af en 18-årig sårbarhed foruroligende? Hvordan implementerer din organisation delingsadgang til filer - stoler du stadig på SMB, eller har din organisation migreret til skybaserede udskiftninger som Google Drive for Business eller en CMIS-håndterer som CmisSync? Fortæl os om din organisations ECM-strategi i kommentarerne.

Læs også

  • Windows sikkerhedsfejl kan føre til login-tyveri, hævder forskere (ZDNet)
  • Windows Hello bringer biometrisk sikkerhed til Windows 10
  • Dataovertrædelser koster muligvis mindre end sikkerheden for at forhindre dem
  • Download: Jobbeskrivelse - Specialistadministrationsspecialist (Tech Pro Research)

Bemærk: TechRepublic, Tech Pro Research, CNET og ZDNet er CBS Interactive egenskaber.

Cybersecurity Insider Nyhedsbrev

Styrke din organisations IT-sikkerhedsforsvar ved at holde dig ajour med de seneste cybersecurity-nyheder, løsninger og bedste praksis. Leveres tirsdage og torsdage

Tilmeld dig i dag

© Copyright 2020 | mobilegn.com