18-åriga Windows-bugg tillåter angripare att skörda referenser

Bild: Cylance

Den här veckan avslöjade säkerhetsforskare på Cylance en sårbarhet i Server Message Block (SMB) som gör det möjligt för angripare att skörda användaruppgifter från vilken Windows-dator, server eller surfplatta som helst, inklusive de som kör Windows 10 Technology Preview.

Attacken är relativt trivial att genomföra, vilket kräver att användaren matar in en skadlig URL-fil: // ", klickar på en liknande skadlig länk eller använder något program som automatiskt kan försöka ladda en sådan länk, till exempel att generera en miniatyrbild för en länkad bild på en skadlig kodad sida. Åtkomst till denna länk leder till ett autentiseringsförsök från Windows. I kombination med en man-i-mitt-attack kan denna exploatering användas för att fånga användaruppgifter.

Enligt Brian Wallace på Cylance:

Hur detta påverkar dig

Som slutanvändare kommer detta förmodligen inte att påverka dig så mycket. Det är dock fortfarande tillrådligt att blockera utgående trafik på TCP 139 och 445 i din brandvägg.

Den verkliga risken är för användare på ett företags intranät. Om användaruppgifter kan erhållas och lösenord knäckas, skulle det göra det möjligt för angriparen åtkomst till delade filer. Potentialen för missbruk med SMB är mycket hög eftersom skadlig programvara som utnyttjar SMB-anslutningar användes i den allmänt publicerade attacken mot Sony Pictures Entertainment i december 2014.

De program som påverkas av denna exploatering

Eftersom flera Windows API-funktioner är sårbara för detta utnyttjande, är ett brett utbud av program - särskilt de som har en självuppdateringsmekanism eller användningsrapporteringsverktyg - mottagliga för detta utnyttjande. Cylance rapporterar att Microsoft-program som är utsatta för detta utnyttjande är Windows Media Player, Excel 2010 och Microsoft Baseline Security Analyzer. Program från tredjepartsleverantörer som använder de utsatta Windows API-samtalen är Adobe Reader, Apple Software Update, Box Sync, Github för Windows, AVG Free, Comodo Antivirus, BitDefender Free och Symantec Norton Security Scan.

Som en man-i-mitt-attack är det möjligt att utnyttja denna sårbarhet genom webbläsarsinjektion eller en skadlig router eller DNS-server, med Cylance som föreslår att URL-förhandsgranskningar i vissa program, såväl som skadligt utformade dokument kan användas för utnyttjandet också. Det är viktigt att denna sårbarhet inte kräver medvetet deltagande från slutanvändaren, eftersom saker som falska annonsserver skulle kunna användas för att utföra utnyttjandet för att skörda användaruppgifter.

När en fix kommer att finnas tillgänglig

Om du inte har något behov av SMB-funktionalitet är ditt bästa alternativ att blockera utgående trafik på TCP 139 och 445 i din brandvägg. Om du gör och väntar på en officiell fix från Microsoft, förbered dig på att bli besviken.

Den här frågan är strukturellt identisk med en sårbarhet som avslöjades för 18 år sedan i Windows 95 och NT 4.0 av säkerhetsforskaren Aaron Spangler. Som sådan insisterar en representant från Microsoft att det här problemet inte är nytt, och till synes missförstår karaktären och detaljerna om sårbarheten, baserat på detta uttalande i en CNET-artikel:

För att upprepa: enligt vitboken från Cylance kräver det inte att användaren anger någon information.

Är dessa referenser krypterade?

Lyckligtvis är svaret på den frågan ja - bara inte särskilt bra. Efter den första rapporten från Spangler 1997 ändrades metoden för kryptering i SMB till en algoritm som kallas NetNTLMv2. Fördelen med detta är att det var säkert för 1998 och inte är svagt för regnbågens bord, eftersom det genererades med två salter.

Cylance pekar på oclHashcat, ett gratis GPU-accelererat lösenordskrackningsverktyg. För den använda algoritmen, en instans som använder åtta AMD R9 290X GPU: er, skulle en brute force-attack ta mindre än 9, 5 timmar att gissa "varje åtta teckenlösenord som består av bokstäver (stora och små bokstäver) och siffror, " men noterar att detta är ett sista utväg metod.

Vad är din åsikt?

Är Microsofts reaktion på och hantering av en 18-årig sårbarhet oroande? Hur implementerar din organisation delningstillträde till filer - förlitar du dig fortfarande på SMB eller har din organisation migrerat till molnbaserade ersättare som Google Drive for Business eller en CMIS-hanterare som CmisSync? Berätta om din organisations ECM-strategi i kommentarerna.

Läs också

  • Windows säkerhetsfel kan leda till inloggningsstöld, hävdar forskare (ZDNet)
  • Windows Hello ger biometrisk säkerhet till Windows 10
  • Dataöverträdelser kan kosta mindre än säkerheten för att förhindra dem
  • Nedladdning: Jobbbeskrivning - Specialistadministrationsspecialist (Tech Pro Research)

Obs: TechRepublic, Tech Pro Research, CNET och ZDNet är CBS Interactive egenskaper.

Cybersecurity Insider Nyhetsbrev

Stärk organisationens IT-säkerhetsförsvar genom att hålla dig uppdaterad om de senaste cybersecurity-nyheterna, lösningarna och bästa praxis. Levereras tisdagar och torsdagar

Registrera dig idag

© Copyright 2020 | mobilegn.com