Cosa diresti se ti dicessimo che la tua versione di Windows è affetta da una vulnerabilità In caso di annuncio di vulnerabilità di Google prima che siano state cancellate? Google dovrebbe annunciare vulnerabilità prima che siano state cancellate? Perché Google segnala le vulnerabilità in Microsoft Windows? È questo il modo in cui Google insegna alla concorrenza per essere più efficiente? E gli utenti? La stretta adesione di Google alle scadenze nel nostro migliore interesse? Leggi altro che risale al 1997? Riderebbe, giusto? Sicuramente, dopo tutto, Microsoft avrebbe corretto l'errore prima di rilasciare Windows 98 o, al più tardi, Windows 2000?
Bene, non proprio.
Questa vulnerabilità di Redirect to SMB ha le sue radici nell'attacco identico di nome scoperto da Aaron Spangler 18 anni fa. Ed è un problema di cui devi fare qualcosa, perché non riguarda solo Windows, ma anche programmi di Adobe, Apple, Symantec e persino l'anteprima di Windows 10.
Reindirizza a SMB: che cosa fa?
In Windows PC, tablet e server, Redirect to SMB, scoperto da Brian Wallace di Cylance, è uno sviluppo della vulnerabilità originale.
Nel 1997, Spangler scoprì che l'introduzione degli URL che iniziavano con "file" induceva Windows a tentare l'autenticazione con un server SMB al dato indirizzo IP (ad esempio, file: //1.1.1.1), che poteva quindi essere usato per registrare le credenziali di accesso. Questi URL possono essere introdotti come immagini, iframe o qualsiasi altro supporto visualizzato dal browser.
SMB è il protocollo Server Message Block, utilizzato principalmente per condividere file, stampanti e porte seriali su una rete. Varie versioni sono state rilasciate nel corso degli anni, (Samba è un software open source open source e Forking: il software Good, The Great e The Ugly Open Source e Forking: The Good, The Great e The Ugly A volte, i vantaggi per l'utente finale A volte, la forchetta è fatta sotto un velo di rabbia, odio e animosità.Vediamo alcuni esempi.Ulteriori informazioni sull'implementazione, anche se non vi è alcun suggerimento che la vulnerabilità esiste lì) ed è stato a lungo un obiettivo, con scansione in tempo reale che dimostra che SMB è uno dei vettori di attacco più popolari per gli intrusi online. A dicembre è stato riferito che l'hack di Sony Pictures è stata eseguita utilizzando una vulnerabilità SMB.
Il reindirizzamento a SMB è stato scoperto dal team di Cylance mentre indagavano sui modi per abusare di un client di chat.
"Quando è stato ricevuto un URL per un'immagine, il client ha tentato di mostrare un'anteprima dell'immagine. Ispirato dalla ricerca di Aaron circa 18 anni fa, abbiamo prontamente inviato a un altro utente un URL che iniziava con file: // che indicava un server SMB malevolo. Sicuramente, il client di chat ha provato a caricare l'immagine e l'utente di Windows dall'altra parte ha tentato di autenticarsi con il nostro server SMB.
"Abbiamo creato un server HTTP in Python che rispondeva a ogni richiesta con un semplice codice di stato HTTP 302 per reindirizzare i client a un file: // URL, e usando ciò eravamo in grado di confermare che un URL http: // poteva portare a un'autenticazione tentativo dal sistema operativo. "
Dopotutto, non basta molto per spingere qualcuno a inserire le proprie credenziali, solo una finestra di dialogo dall'aspetto legittimo.
Come reindirizzare a SMB potrebbe essere usato contro di te
È possibile utilizzare quattro funzioni API di Windows per reindirizzare una connessione HTTP o HTTPS Che cos'è HTTPS e Come abilitare connessioni sicure per impostazione predefinita Cos'è HTTPS e Come abilitare connessioni sicure Per default Le preoccupazioni di sicurezza si stanno diffondendo in lungo e in largo la mente di tutti Termini come antivirus o firewall non sono più un vocabolario strano e non sono solo compresi, ma anche utilizzati da ... Leggi di più su una connessione SMB, in cui un server malevolo può attendere per sottrarre credenziali utente e riutilizzarle per fini nefandi.
Brian Wallace spiega che per il reindirizzamento a SMB per avere successo, l'attaccante deve essere ragionevolmente avanzato in quanto vi è l'obbligo di "controllare ... alcuni componenti del traffico di rete di una vittima".
Sottolinea inoltre che le minacce possono arrivare sotto forma di pubblicità malevole che forzano i tentativi di autenticazione, e Redirect to SMB può anche essere utilizzato in un drive tramite hack sulle reti Wi-Fi pubbliche (pericoloso al meglio dei tempi 3 Dangers Of Logging On Per il Wi-Fi pubblico 3 Pericoli di accesso al Wi-Fi pubblico Hai sentito che non devi aprire PayPal, il tuo conto bancario e possibilmente anche la tua email mentre utilizzi il Wi-Fi pubblico, ma quali sono i rischi effettivi?, lanciato da un computer portatile e persino uno smartphone Android.
Potenzialmente uno dei più pericolosi vettori di attacco scatenati da Redirect in SMB è tramite iTunes Software Updater di Apple. In questo scenario, un record DNS compromesso Come cambiare i server DNS e migliorare la sicurezza di Internet Come cambiare i server DNS e migliorare la sicurezza Internet Immagina questo: ti svegli una bella mattina, versati una tazza di caffè e poi siediti il tuo computer per iniziare il tuo lavoro per il giorno. Prima che tu riesca a ottenere ... Leggi di più potrebbe portare a reindirizzare gli aggiornamenti indirizzati a un server SMB, di nuovo con il risultato che le credenziali vengono gestite tramite un classico attacco Man-In-The-Middle Che cos'è un Man-in-the-Middle Attacco? Il gergo della sicurezza ha spiegato cos'è un attacco man-in-the-middle? Il gergo della sicurezza ha spiegato Se hai sentito parlare di attacchi "man-in-the-middle" ma non sei sicuro di cosa significhi, questo è l'articolo che fa per te. Leggi di più .
In parole povere, questa è una vulnerabilità che avrebbe dovuto essere chiusa 18 anni fa. Mentre Microsoft offriva modi per mitigarlo, l'opposizione - i cappelli neri - sono diventati molto più sofisticati nei loro attacchi, con sempre più utenti Internet che rappresentano un grande giorno di paga. Ora sembrerebbe che sia il momento per Microsoft di agire insieme sulla sicurezza SMB.
Software interessato da Re-Direct to SMB
Ok, è tempo di respirare profondamente. Oltre a tutte le versioni di Windows alla metà degli anni '90, Redirect to SMB influisce anche su una vasta gamma di applicazioni e utilità di sistema (almeno 31) di alcuni dei più grandi nomi del settore. Per iniziare, Microsoft e Apple.
Microsoft:
- Internet Explorer 11
- Windows Media Player
- Excel 2010
- Microsoft Baseline Security Analyzer
Mela:
- Tempo veloce
- Aggiornamento software Apple iTunes
Per la vulnerabilità di questo tipo, anche il software di sicurezza è interessato.
- Symantec Norton Security Scan
- AVG gratuito
- BitDefender gratuito
- Comodo Antivirus
App di produttività che sono note per essere vulnerabili a Redirect to SMB:
- Adobe Reader
- Box Sync (l'applicazione client cloud Box.net)
- Visione di squadra
Anche queste utilità e programmi di installazione sono interessati:
- .NET Reflector
- Maltego CE
- GitHub per Windows
- PyCharm
- IntelliJ IDEA
- PHP Storm
- Installer di Oracle JDK 8u31
Come puoi vedere, questo è un bel elenco, con ogni applicazione un potenziale gateway per le tue credenziali per un utente malintenzionato. Ma cosa puoi fare al riguardo?
Soluzione alternativa o attendere una patch?
Si dice che Microsoft stia lavorando su una patch per correggere la vulnerabilità Redirect to SMB. Ma finché ciò non accadrà, cosa puoi fare?
Come riportato dagli esperti di sicurezza informatica Cylance, la soluzione migliore è bloccare il traffico inviato in uscita dal computer tramite il firewall del software o tramite il router, su TCP 139 e TCP 445. Questo bloccherà le comunicazioni SMB tra la rete e Internet, e se il la modifica viene effettuata sul firewall di rete, sarà comunque possibile utilizzare SMB tra i dispositivi sulla rete locale. La nostra guida al firewall di Windows spiega come creare queste regole Firewall di Windows 7: confronto con altri firewall Firewall di Windows 7: confronto con altri firewall Windows 7 contiene un firewall discreto e facile da usare che protegge il computer dall'ingresso traffico. Se stai cercando opzioni più avanzate, come la possibilità di controllare il traffico in uscita o visualizzare le applicazioni usando il tuo ... Leggi di più in pochi secondi; per il tuo router, dovrai controllare la documentazione del dispositivo.
Data l'ampiezza dei sistemi operativi e delle applicazioni interessate da questa vulnerabilità e con l'imminente arrivo di Windows 10, non è ora che Microsoft abbia fatto qualcosa al riguardo?
Crediti immagine: password tramite Shutterstock